LINUX.ORG.RU
ФорумAdmin

Разделение трафика на основе принадлежности к зоне .RU

 ,


0

3

Добрый день! Есть два провайдера в инет. Можно ли разделить трафик на основе принадлежности к зоне .RU и выпускать его через первого провайдера, а весь остальной мир выпуcкать через второго провайдера. Спасибо.


находишь все российские подсети, вносишь в правила маршрутизации - профит

Harald ★★★★★
()
Ответ на: комментарий от melkor217

типа доступ к сайтам зоны .RU только через указанного провайдера

bignic
() автор топика

Это отдельные задачи: направление разного трафика по разным каналам и разделение трафика по географии.

По первому гугли policy-based routing. ИМХО, лучше всего создать две таблицы маршрутизации для провайдеров, фаерволом маркировать трафик (-m mark --set-mark MARK1), и на основе меток кидать в разные таблицы (ip rule add fwmark MARK1 lookup PROV1).

По второму — в xtables-addons есть модуль geoip для iptables, который умеет различать трафик по географической принадлежности.

gasinvein ★★★
()
Ответ на: комментарий от bignic

http и https без esni теоретически можно через прокси попытаться завернуть.

vel ★★★★★
()
Ответ на: комментарий от bignic

Ядерный вариант IMHO полностью исключен т.к. там ты работаешь с уже установленным соединением.

Только прокси, который сначала принимает соединение от клиента и на основе разбора запроса принимает решение о выборе канала.

vel ★★★★★
()
Ответ на: комментарий от vel

Спасибо. Пойду поковыряю mikrotik, у него layer7 прикручен.

bignic
() автор топика
Ответ на: комментарий от bignic

ну типа любой домен может хоститься где угодно, хоть в Африке

Harald ★★★★★
()

Надо юзать прозрачный прокси. Вроде squid умеет выставлять tos в зависимости от acl. Но у меня это не сработало.

Bers666 ★★★★★
()

Задача.
Для домена сайта в зоне ru прописано 2 ip - российский и иностранный. Этот сайт имеет доменное имя ещё в зоне so, с теми же ip. Как оно будет работать с таким разделением?

boowai ★★★★
()
Ответ на: комментарий от Deleted

dpi тут не поможет т.к. соединение можно установить только после анализа имени запрашиваемого ресурса.

Есть два имени с одним и тем же ip.

xxx.ru - 1.1.1.1 и xxx.com - 1.1.1.1

Запрос к xxx.ru должен идти через один канал, а xxx.com через другой.

Если в сквиде acl ssl::server_name_regex «быстрый», то задача решается сквидом т.к. в tcp_outgoing_address можно примерять только быстрые типы acl.

vel ★★★★★
()

Вероятно, вам нужен комплекс ПО со специальным DNS-сервером, который будет определять запросы к зоне .ru (если речь именно о доменной зоне, а не о физическом расположении серверов или диапазонов IP-адресов) и перенаправлять их на один из заданных каналов. Из известных мне подобных комплексов — https://github.com/mrahmadt/SmartGW

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

Ого! Какие люди:) А нельзя разве в обычном прокси делать перенаправление по маске *.ru на вышестоящий, который в свою очередь будет весь свой трафик гнать по отдельному маршруту? Что-то типа опции upstream в tinyproxy.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Можно, но прокси будет работать только для веб-сайтов, а способ с «умным» DNS работает на уровне маршрутов, и подходит для любого протокола и программы.

ValdikSS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.