VDS, Разделение входного и исходящего трафика

0

2

Есть VDSка с одним сетевым интерфейсом и 2-мя белыми ip-шниками. Один для входящего трафика (пока что только ssh с туннелями), другой для исходящего.

Каким образом их развязать с явным указанием какой из ip’шников должен использоваться для исходящего трафика? Пока что нашёл 2 варианта:

1. Тот ip, который в процессе конфигурации был задан первым, система использует как исходящий. Т.е. если захочу сделать исходящим второй ip, надо просто поменять очерёдность их задания в файле конфигурации.
1. Через nft все postrouting пакеты выпускать через желаемый ip. Фактически NAT для 1 ip получается.

Есть подозрение, что это как-то проще должно решаться, может быть через таблицы маршрутизации, не?

UPD:

1.1.1.1 для входящих соединений
2.2.2.2 для исходящих соединений

Для 2.2.2.2 фаерволом закрыты все входящие соединения, кроме тех, которые были с него же и инициированы. Т.е. если я с него долбился наружу, и эта «наружа» мне ответила, то такое соединение пропускаем.

Подключиться же по инициативе «наружи» можно только на 1.1.1.1 (ssh, например). С него же и отвечаем обратно всем, кто на 1.1.1.1 подключился.

Ссылка

←	проблема с iptables при создании VPN-подключения

Аналог SSH/WinSCP через интернет с динамическими серыми IP

→

читать про policy-based routing.

vel ★★★★★
(30.03.22 20:00:55 MSK)
Последнее исправление: vel 30.03.22 20:01:25 MSK (всего исправлений: 1)

Ссылка

Ты что-то не так сфодрмулировал

Один для входящего трафика, другой для исходящего

Эти твои интернеты так не работают)

Anoxemian ★★★★★
(30.03.22 21:18:02 MSK)

В таблице маршрутизации исходящий адрес можно указать параметром src.

ValdikSS ★★★★★
(31.03.22 03:56:52 MSK)

поидее чтото типа: route add default 1.1.1.1, все исходящее пойдет через него. а со вторым ip уже мудруйте в каких условиях он нужен вам будет. т.к. если второй ip 2.2.2.2 и на него прийдет запрос, то без дополнительных манипуляций ответ уйдет по дефолту.

forella
(31.03.22 10:22:01 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 30.03.22 21:18:02 MSK

Ну да, криво сформулировал.

1.1.1.1 для входящих соединений 2.2.2.2 для исходящих соединений

Для 2.2.2.2 закрыты все входящие соединения, кроме тех, которые были с него же и инициированы. Т.е. если я с него долбился наружу, и эта «наружа» мне ответила, то такое соединение пропускаем.

ipochto
(31.03.22 11:29:16 MSK) автор топика

Ссылка

Насчёт:

policy-based routing.

исходящий адрес можно указать параметром src

Спасибо, полез курить мануалы.

ipochto
(31.03.22 11:37:35 MSK) автор топика

Ссылка

Ответ на: комментарий от ValdikSS 31.03.22 03:56:52 MSK

Забыл отписаться. Да, в итоге решилось через src:

# ip route change $(ip -4 route | grep default) src ${outIP4}

Аналогично для IP v6

Немного потупил с активацией сего безобразия в конфиге NixOS, но в итоге завелось.

Спасибо за пинок в нужном направлении.

ipochto
(22.04.22 12:13:46 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	проблема с iptables при создании VPN-подключения

Admin

Аналог SSH/WinSCP через интернет с динамическими серыми IP

→

Похожие темы