Как правильно открыть 80 порт для 2-x провайдеров?

Question

[Vasiliy Adminko]

Добрый день.
Имеем шлюз на ОС Ubuntu 10.04.
К нему подключены 2 провайдера, для резервирования канала.
В локально сети за шлюзом присутствует веб-сервер с адресом 192.168.1.10 .
В правилах firewall 80 порт для веб-сервера проброшен.
Веб сервер доступен в мир только по IP одного из провайдеров.
Возможно ли одновременно открыть доступ к веб-серверу с адресом 192.168.1.10 по двум внешним IP 176.x.x.x и 212.y.y.y средствами шлюза ?

Answer 1

[alegzz]

можно

Comments

[Vasiliy Adminko]

Может быть вот такое из решений help.ubuntu.ru/wiki/ip_balancing ?

[alegzz]

нет. там балансировка. нужно маркировать транзитные входящие пакеты с 2х внешних интерфейсов. транзитным из локалки восстанавливать маркировки.
habrahabr.ru/post/108690
примерно так, только вместо INPUT в mangle маркируем в цепочке PREROUTING

Answer 2

[Владимир]

допустим на интерфейсе vlan10 176.x.x.x, на vlan20 212.y.y.y, 192.168.1.10 находится за eth0

добавить в /etc/iproute2/rt_tables

101 prov1
102 prov2

выполнить

# ip rule add from all fwmark 0x1 lookup prov1
# ip rule add from all fwmark 0x2 lookup prov2

# iptables -t mangle -A PREROUTING -i vlan10 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x1
# iptables -t mangle -A PREROUTING -i vlan20 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x2
# iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate ESTABLISHED -j CONNMARK --restore-mark

# iptables -t nat -A PREROUTING -i vlan10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80
# iptables -t nat -A PREROUTING -i vlan20 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan10 -j SNAT --to-source 176.x.x.x
# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan20 -j SNAT --to-source 212.y.y.y

# iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -p tcp -m tcp -d 192.168.1.10 --dport 80 -j ACCEPT

Answer 3

[Владимир]

Вы можете:
1 просто добавить на веб-сервер с адресом 192.168.1.10 еще 1 ип адрес, повесить на него такоqже виртуал хост и пробрасывать на него 80ый порт с другова провайдера. (этот адрес должен выходить в интернет именно с другова провайдера)

2 Либо вам придется вникать в проблему: сейчас у вас скорее всего на шлюзе стоит простой NAT и роутинг (пара таблиц в каждой свой дефаулт гейтвей) - и правила эту сеть или ипы через 1го провадера а другие через другова, поэтому даже если пришли пакеты с другова провайдера на порт 80 они всеравно уходят через 1го провадер и ничего не работает, решить проблему можно почитав LARTC и доки по iptables iproute2. но там много не очевидных вещей, увелкательые приключения с tcpdump вам гарантированны.