Routing statyczny Redhat/CentOS


Szukam rady, wyciągam włosy, próbując to rozgryźć! Uruchamiam Redhat (CentOS) z dość normalną konfiguracją i na razie wyłączyłem zaporę ogniową.
Mam serwer WWW, który działał dobrze z następującą konfiguracją:
Server IP: 10.0.0.10
Firewall/Router: 10.0.0.1

Przekierowuję nasz publiczny adres IP, część 80/443, powiedzmy 72.94.30.30, na wewnętrzny adres IP 0,10 i działa dobrze.
Jednak ostatnio potrzebowałem dodać drugą witrynę SSL, więc potrzebowałem nowego zewnętrznego adresu IP, który otrzymałem od mojego usługodawcy internetowego. Dodałem do systemu drugą kartę sieciową, eth1 z „publicznym” adresem IP
       72.94.30.31
... Brama dla tego zewnętrznego adresu IP to teraz
       72.94.30.1
który jest taki sam jak twój firewall/router. System chce teraz skierować wszystko przez eth1, zamykając pierwszą witrynę (i interfejs).
Teraz muszę ustawić trasy statyczne, ale nie mogę sprawić, by robiło to, co chcę. Zasadniczo chcę:
Ruch przychodzący z
       72.94.30.30
być skierowanym
       10.0.0.223
firewall/router (już zrobione), zwracający ruch do przejścia
       10.0.0.1
na
       eth0
.
Ruch przychodzący z
       72.94.30.31
być podawane prosto na górę
       72.94.30.1
na
       eth1
.
Jakieś wskazówki dotyczące poprawnej konfiguracji?
Teraz mam

cat ifcfg-eth0
>
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.0.0.10
NETMASK=255.255.255.0
GATEWAY=10.0.0.1


cat ifroute-eth0
>
default 10.0.0.1 dev eth0
10.0.0.0/24 via 10.0.0.1 dev eth0


cat ifcfg-eth1
>
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=72.94.30.31
NETMASK=255.255.255.0
GATEWAY=72.94.30.1


cat route-eth1
>
default 72.94.30.1 dev eth1
72.94.30.30/32 via 72.94.30.1 dev eth1


Trasa IP
>
72.94.30.31 via 72.94.30.1 dev eth1 
72.94.30.30 via 10.0.0.1 dev eth0
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.10
72.94.30.0/24 dev eth1 proto kernel scope link src 72.94.30.31
169.254.0.0/16 dev eth1 scope link
default via 72.94.30.1 dev eth1

To prowadzi do
       72.94.30.31
ruch działa dobrze, ale drugi interfejs jest wyłączony offline.
Każda pomoc jest mile widziana!
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Dlaczego utrudniasz sobie życie? Nie potrzebujesz do tego drugiej karty sieciowej. Po prostu dodaj kolejny adres IP do pierwszej karty sieciowej, aby akceptował ruch także dla innego adresu IP.

Następnie przeprowadź przekierowanie portów w swojej zaporze sieciowej za pomocą DNAT dla obu adresów oraz w celu oddzielenia wewnętrznych adresów IP (ze względu na certyfikat SSL) na serwerze sieciowym (który również musi używać dwóch adresów IP na tym samym interfejsie Ethernet), a Bob jest twoim wujem.
Jeśli to nie jest jasne, wyjaśnię w inny sposób:
         Public IP

72.94.30.30 -> DNAT to 10.0.0.10 (ports 80 and 443)

72.94.30.31 -> DNAT to 10.0.0.11 (ports 80 and 443)

Oba publiczne adresy IP używają tego samego fizycznego interfejsu na zaporze/routerze, a oba adresy wewnętrzne używają tego samego fizycznego interfejsu na serwerze WWW.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

usuń domyślną trasę w sieci eth1, a następnie użyj etykiet iproute2 i zapory, aby upewnić się, że ruch wchodzący przez interfejs eth1 jest przesyłany przez ten sam interfejs.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się