LINUX.ORG.RU
ФорумAdmin

Шлюз на Linux

 


0

1

Добрый день. Из за моего небольшого опыта пытаюсь разобраться с шлюзом на CentOS, хотел бы задать несколько вопросов знатокам о его работе. Есть два провайдера основной (Статический IP) и резервный (ppp). При отключении одного, автоматом поднимается другой, так вот вопрос какое именно правило за это отвечает? Большинство машин настроено через прокси, но есть и те которые прописаны в iptables в файле fullaccess но при переключении они остаются на основном канале, то есть без интернета, как можно осуществить их переключение на резервный канал, так как прокси и сам шлюз нормально переключается на резервный канал, а они остаются висеть без него.

Тебе виднее как настроено, ведь сервер у тебя перед глазами.

Но механизм переключения может работать, например так:

в таблицу маршрутизации прописано два маршрута по умолчанию, но с разной метрикой.

раз в минуту или более длительный интервал проверяется доступность шлюза основного провайдера.

Если шлюз недоступен, то изменяется метрика на маршруте по умолчанию, у резервного провайдера метрика становится меньше.

Как только основной провайдер становится доступным, то метрика переключается обратно.

Ну либо резервный канал вообще не поднят, а поднимается только в случае падения основного канала.

Для каждого из провайдеров могут быть настроены свои таблицы маршрутизации, вам нужно почитать что-то вроде: https://www.opennet.ru/docs/RUS/LARTC/x348.html

Выход напрямую через шлюз, а не прокси работает по технологии NAT (Network Address Translation), она может быть реализована двумя способами, просто MASQUERADE (маскарадинг), исходящий пакет от клиента с сервера уходит с адресом внешнего интерфейса, с которого он ушёл. В этом случае IP адрес на который заменяется внутренний адрес клиента явно не указывается, а определяется интерфейсом шлюза. Второй способ - SNAT, в этом случае в iptables явно прописывается IP адрес на который происходит подмена адреса клиента.

Если у тебя настроены правила для SNAT, то это может быть причиной проблемы.

Переделывай на SNAT или модифицируй скрипты по переключению на другого провайдера, чтобы они так же изменяли и правила пакетного фильтра.

infomeh ★★ ()

Смотрите скрипты на своем сервере. Примерный алгоритм их работы выше уже описали.

Второй вариант - попытаться разыскать человека, который все это настраивал - сэкономите время.

Ну и самый радикальный подход - переделать все самому, с нуля, благо, что задача довольно стандартная и в Сети полно подробных инструкций.

Serge10 ★★★★★ ()
Ответ на: комментарий от infomeh

Если настраивать по метрике то при вводе команды ip route должно показывать, какой интерфейс, какую метрику имеет? если да то у меня выводит:

(ip адрес) dev (название интерфейса) proto kernel link src (ip адрес)

(ip адрес) via (ip адрес)

и так несколько раз для разных ip адресов, в двух последних строчках прописано:

(ip адрес) dev (название интерфейса) scope link

default via (ip адрес) dev (название интерфейса)

то есть метрика не указывается.

В rt_tables прописано:

# reserved values

255 local

254 main

253 default

0 unspec

я так понимаю тоже не о чём не говорит. Куда ещё можно заглянуть?

supp0rtmail2019 ()
Ответ на: комментарий от Serge10

Человек который знает как это работает, дал понять что делиться информацией он сильно то не хочет, не знаю толе человек такой, толе им движут какие то личные мотивы, что скорее всего так как, в случае чего ему доплатят за устранение неисправности, а мне нужно разобраться со всем чтобы его не дёргать и устранять неисправности сразу.

supp0rtmail2019 ()
Ответ на: комментарий от supp0rtmail2019

Ну, тогда у Вас остаются два варианта - выкинуть все, созданное Вашим предшественником, и написать аналогичные скрипты самому (повторюсь, в Сети полно инструкций и примеров, как это нужно делать), либо вдумчиво анализировать свой шлюз, искать написанные вашим предшественником скрипты и разбираться в них. Выбор за Вами...

Serge10 ★★★★★ ()
Ответ на: комментарий от supp0rtmail2019

Немного оффтопа. Ваша ситуация напоминает классическую «старый админ все настроил и ничего не делает. Давайте мы его уволим, и возьмем такого же но подешевле.» или «Давайте админа и этим и этим нагрузим и так до уборки помещений доходит». Я бы на вашем месте попытался узнать причины увольнения предыдущего админа. И если я прав в «классической схеме» то лучше бежать уже сейчас, «доброго» ничего не будет.
Чаще всего когда расстаются по доброму, человек не отказывает в помощи новому админу пришедшему ему на смену.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от infomeh

по поводу cron выводит сообщение «no crontab for root». А файл с systemd timers может лежать где угодно и нету централизованного вывода всех запланированных задач?

supp0rtmail2019 ()
Ответ на: комментарий от supp0rtmail2019

по поводу cron выводит сообщение «no crontab for root»

Команда

crontab -l
выводит список cron задач для пользователя от которого она запущена.

Задачи создаются вызовом команды

crontab -e
В этом случае создаётся персональный для пользователя файл со списком зада cron в директории /var/spool/cron/crontabs/<username>.

Помимо персонального файла задач пользователя есть общий файл настроек cron, синтаксис его почти такой же, как и пользовательского, только в строке указывается ещё и имя пользователя от которого запускать задачу.

Синтаксис пользовательского

* * * * * cmd

Синтаксис общего фала

* * * * * username cmd
Общий файл /etc/crontab, а так же директория /etc/cron.d и прочие директории /etc/cron*.

А файл с systemd timers может лежать где угодно и нету централизованного вывода всех запланированных задач?

Открывайте документацию по systemd и смотрите где могут лежать файлы.

Удостоверьтесь в начале, что только не используется cron, проверив общие файлы настроек.

infomeh ★★ ()

какой-то повальный кустово-выползневой пипец с этим резервированием. Каждый контора готовый удавиться нафиг за 150 долларок специализированных микротиков или убитых там фиг знает чего, кроме цисок. Но обязательно требуют автоматического переключения каналов, да еще и ужос-ужос, за статический IP деньги же надо платить!!!

Короче, ТС, стоит коробка? Обходи её стороной.

anonymous ()
Ответ на: комментарий от anc

Чаще всего когда расстаются по доброму, человек не отказывает в помощи новому админу пришедшему ему на смену.

ОФФ

Это конечно красиво и благородно, но по моему это просто слова, учить никто никого не обязан, приняли на работу более дешового специалиста или менеджера какого подтянули и он что то не умеет, в моей практике бывало такое, это проблемы начальства, тех кто принял решение о приеме. В данном случае спец должен разобраться с тем что есть, либо сделать самому и по своему.

Ну правда, уволился по доброму токарь 6 разряда, на пенсию, приняли нового, молодого не опытного, что кто то должен учить? Аналогия по моему полная.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

приняли нового, молодого не опытного, что кто то должен учить? Аналогия по моему полная.

По-моему фантастика полная. Никто не возьмёт на работу токаря/слесаря/электрика/... который «молодой неопытный».

Говорят берут в дворники, но это не точно...

anonymous ()
Ответ на: комментарий от anc

Я не про учить. Подсказать где что и как было настроено и тому подобное, небольшие консультации.

Общие слова они обычно не помогают, вопросы тоже надо задавать знаючи предмет, если предмет знаешь, то открыть и посмотреть настройки не проблема, а если знаний нет...

alex_sim ★★★ ()
Ответ на: комментарий от anonymous

По-моему фантастика полная. Никто не возьмёт на работу токаря/слесаря/электрика/... который «молодой неопытный».

Да ну! А мужики то не знают! токарные/слесарные/прочие работы они тоже бывают разной квалификации. Рассказываю свой случай, приняли на работу секретаря, старая пошла на повышение, за нее села новая, казалось бы работа то не сильно сложная. Ан нет, начались казусы не может справиться с Вордом, зовет меня на помощь, нашла в инете какой то бланк заявления, кликнула по нему, скачала, кликнула по документу, он открылся в ворде (все для удобства пользователей), посмотрела на него, то что надо, закрыла его и ищет его на рабочем столе.... а его нету! Где же он? Вообщем эти действия она повторила 6 раз, именно столько копий я нашел в загрузках. Те про «Сохранить как» секретарь не знает. А что приняли она без претензий/амбиций платить надо мало, а там кто нибуть научит, вот админ скажем, ему то делать не куй, ходи да учи, проблемы то транслируются на кого угодно. Не буду тут разводить бодягу, но есть и слесаря такие и сантехники на заводишке. Про слесарей я тоже такое рассказывали, я рассказываю только то с чем мне приходится сталкиваться. За дворников ничего не скажу, не сталкивался.

alex_sim ★★★ ()
Ответ на: комментарий от anc

Я не про учить.

Сорри понесло. Лично мой опыт, было это лет 7 назад, контора небольшая, директор бывший мой, отпачковался и повел свой бизнес, Вышел на меня, нужен приходящий админ, сеть инет принтера, вообщем все по полной программе но совместительство 2 раза в неделю по 2 часа зарплату положил 4 тыс РУБЛЕЙ. Ну поднял шлюз раздал инет доступ удаленный настроил если что удаленно дотягиваюсь до рабочих мест. Началась ползучая интервенция звонит манагер и начинает меня пытать, что да как, а дай пароль от линукса? Зачем? я удаленно сам все делаю, ты знаешь Линукс то? Нет но я хочу поглядеть... как то приезжаю, а шлюза нет. Спрашиваю директора где? Да у нас тут манеджер башковитый он его куда то увез, то ли пароль мой снимать то ли настраивать кому то, может на Винде... да пусть он тут и ковыряется... Да я не против, пусть! развернулся и уехал.

Это за 4 штуки в месяц, натянули манагера нахватанного. Я ни в коем случае не про ТС, никаких аналогий.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Общие слова они обычно не помогают, вопросы тоже надо задавать знаючи предмет, если предмет знаешь, то открыть и посмотреть настройки не проблема, а если знаний нет...

Зависит от сложности системы, если она простая одно, если сложная совсем другое.

anc ★★★★★ ()
Ответ на: комментарий от alex_sim

Ну это вы уж простите ссзб за 4к в месяц подписываться на работу 4 часа в неделю. Это даже «не на мороженное». Ваш пример «плохого варианта».

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну это вы уж простите ссзб за 4к в месяц подписываться на работу 4 часа в неделю. Это даже «не на мороженное». Ваш пример «плохого варианта».

Насчет 7 лет я наверно погорячился, надо на 2 умножить те 13-14,ну и цены у нас не Нерезиновые, начиналось все неплохо, а как закончится никто не знал, предшественника не было вообще.

alex_sim ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.