[iptables] dnat/snat redundancy probleem

Mogguh,

Ik ben bezig een netwerk te bouwen waarbij twee firewalls de verbinding met het internet verzorgen. Het interne netwerk is dubbel uitgevoerd (2 aparte subnetten)

Het een en ander is als volgt aangesloten

fw1, eth0: 192.168.1.1/24
fw1, eth1: 192.168.2.1/24
fw1, eth2: extern-ip-adres

fw2, eth0: 192.168.1.2/24
fw2, eth1: 192.168.2.2/24
fw2, eth2: ander-extern-ip-adres

server1, eth0: 192.168.1.100/24
server1, eth1: 192.168.2.100/24

server2, eth0: 192.168.1.200/24
server2, eth1: 192.168.2.200/24

mijn werkplek zit op een geheel andere locatie.

Er zijn dus 4 paden van mijn werkplek naar server1.

Met DNAT worden inkomende ssh verbindingen naar server1 doorgeleid. met Masquerading (dit wordt nog SNAT) worden uitgaande verbindingen naar buiten vertaald.

Het probleem is dus, als ik een ssh verbinding wil maken met server1, kan het pakket via vier paden naar server1, en antwoord-pakketten gaan via de default-gateway eruit.

Ik maak dus een kans van 1 op 4 dat het antwoord inderdaad ook op mijn werkplek uitkomt.

Maar is het mogelijk om SNAT en DNAT voor inkomend verkeer te combineren, zodat voor server1 het ssh verkeer van een firewall schijnt te komen, en het antwoord over hetzelfde pad teruggestuurd wordt als het inkomende pakket?

Effectief zijn er maar twee paden belangrijk, de ene firewall of de andere. De interne server stuurt antwoord pakketten naar de "default gateway", wat maarzo eens de andere server kan zijn.

De externe servers worden via round-robin dns aangeroepen

[ Voor 20% gewijzigd door Verwijderd op 09-07-2005 02:20 ]

Ik heb het geprobeerd. een snat op de inside interface, met het bijbehorende ip-adres werkt prima.

Probleem opgelost

Mijn originele post was eigenlijk om te zoeken of iemand ervaring met dit soort dingen heeft, en eventuele problemen en andere issues kan aangeven.

[ Voor 39% gewijzigd door Verwijderd op 11-07-2005 14:20 ]