unixforum.org

суть вопроса.
есть небольшой сервак, выполняющий роль и роутера и веб-сервера и почтового сервера. вообщем всего.
две сетевухи, одна смотрит внутрь - 192.168.1.1, вторая наружу, наружний интерфейс - статический, "реальный".

пусть скажем IP: 10.10.10.72/255.255.255.224, gate: 10.10.10.65
настроен маскарадинг, все работает, внутренние тачки в инет выходят.
имеется поднятый DNS, sftp, apache, qmail и прочая мишура. все работает, все ок, почта принимается, веб-сервер отвечает.

провайдер делает подарок - предлагает хорошую скидку на ночной трафик (с 0 до 6 утра)
но при этом нужно поднять на этой же сетевухе второй IP-адрес и чтобы ночью весь траффик шел через этот IP адрес.
пусть скажем IP: 10.10.11.54/255.255.255.240, gate: 10.10.11.49

покурив на linux IP-aliasing mini howto - делаем такую фишку:
основной IP (.10.72) оставляем на eth0.
"ночной" IP (.11.54) заводим на eth0:0 (на алиас).

в роутинге прописываем: route add default gw 10.10.10.65 metric 2
в кроне с 0 часов делаем: route add default gw 10.10.11.49 metric 1, а в 6 часов утра этот роут удаляем.

суть идеи - сделать более приоритетный роут с тем, чтобы с 0 до 6 утра все пакеты шли через "ночной" IP.

результат: изнутри все работает. то есть ночью весь траффик идет через "ночной" IP.
но ночью же снаружи сайт становится недоступным. причем достаточно странно, в первые дни он был доступен, а сейчас я к нему приконнектится не могу (трейсроут затывается еще на подходе к гейту).

пров (у него в целом - фря, а шлюз xxx.49 - это cisco-3750) на это пишет:

"У тебя проблемы с "дефолтом".

1) Вот пинг с твоего шлюза сейчас:
.....#ping .......54
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xxx.xxx.xxx.54, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

2) А с любого другого места - ФИГ!

3) Вот правило на входе в нашу сеть сейчас:
00051 180 16232 allow ip from any to xxx.xxx.xxx.54
00051 0 0 allow ip from xxx.xxx.xxx.54 to any

4) Так что смотри у себя что там трогали - до этого все нормально
проканывало..."

вопросы:
1. а почему собственно?
2. есть ли идеи по более правильному решению (я чуствую, что мое - корявое :-) ) задачи:
- заведения 2-х внешних IP-адресов на одном eth0
- динамическому роутингу по времени (с 0 до 6 утра - через второй IP, а в остальное время - через основной IP)
- сохранению доступности сервера (DNS, www, qmail и прочее) по основному IP в ночное время

заранее огромное спасибо!

сделал сейчас по другому.
не стал делать 2 default роута с разными метриками.
сделал так:
в 0 часов: ip route change default via 10.10.11.49 metric 1
в 6 часов: ip route change default via 10.10.10.65 metric 1

так более правильно?
не будет ли проблем с доступом к "дневному" (10.10.10.72) ip-адресу (всмысле будет ли работать DNS, www, почта и т.п.) в ночное время, когда активен роутинг через 10.10.11.49?

из приведенной информации вытекает, что деменов для динамической маршрутизации у Вас нет.
зачем тогда указывать метрику?
кроме этих демонов ее никто не использует. вообще.

[kab] писал(а): ↑

17.04.2007 12:55

так более правильно?

вполне себе нормальное решение

[kab] писал(а): ↑

17.04.2007 12:55

не будет ли проблем с доступом к "дневному" (10.10.10.72) ip-адресу (всмысле будет ли работать DNS, www, почта и т.п.) в ночное время, когда активен роутинг через 10.10.11.49?

если я правильно понял, и 10.10.10.72, и 10.10.11.49 - адреса провайдера, а не Ваши. т.е. доступ к этим адресам зависит от того, как оно там настроено у провайдера.

вообщем, попробуем пока так. :-)
10.10.10.72 и 10.10.11.54 - мои адреса
10.10.10.65 и 10.10.11.49 - гейты у прова.
волнусь только за одно - чтобы пакеты пришедшие через 10.72 и уходящие ночью через 11.54 нормально ходили и нигде не резались.

итог: все вроде бы заработало.
настройки:
eth0: 10.10.10.72/255.255.255.224, bcast: 10.10.10.95
gate: 10.10.10.65 - прописываем при старте системы

алиас eth0:0 поднимаем сразу при старте системы:
eth0:0 - 10.10.11.54/255.255.255.240, bcast: 10.10.11.63
gate: 10.10.11.49 - поднимаем по крону, т.е. для переключения роутинга по времени имеем такую запись в кроне для рута:

# night IP
5 0 * * * /sbin/ip route change default via 10.10.11.49 metric 1
55 5 * * * /sbin/ip route change default via 10.10.10.65 metric 1

пока что вроде работает. несмотря на одну кривизну - если пакет к работающему DNS/mail/www/etc придет ночью, то он придет на "дневной" IP (10.10.10.72), а ответ на этот пакет пойдет по "ночному" IP (10.10.11.54). благо у мя провайдер это не режет.

[kab] писал(а): ↑

18.04.2007 16:05

несмотря на одну кривизну

какая ж это кривизна? это издержки производства.
p.s. кстати, открою один маленький секрет: ядра линукс начиная где-то с 2.0 прекрасно обходятся без alias-ов. естественно, для обратной совместимости, можно ip-адресу назначить псевдоним. но все прекрасно будет работать и без него.

ядра линукс начиная где-то с 2.0 прекрасно обходятся без alias-ов. естественно, для обратной совместимости, можно ip-адресу назначить псевдоним. но все прекрасно будет работать и без него.

А как работать без алиасов? Подскажите?

zkrvova писал(а): ↑

19.04.2007 14:15

А как работать без алиасов?

псевдоним (он же alias, он же label) - это всего лишь дополнительная информация, привязывающаяся к ip-адресу. опциональная.
можно указывать, можно нет.
а теперь внимание, смертельный номер:мораль которого - не пользуйтесь морально и физически устаревшими средствами типа ifconfig, route, arp. а пользуйтесь командой ip. входящей в пакет iproute. который специально был разработан для работы с полностью переписанной сетевой подсистемой ядра linux. версии с 2.0.чего-то-там.

Вопрос на похожую тему:

Есть ноутбук, подключаемый то к домашней локалке, то к рабочей, в которых разные днс, шлюзы, айпи и прочее. Можно ли это сделать цивилизованно, а не переписывая resolv.conf и т.п.?

gm2k писал(а): ↑

21.04.2007 12:56

Есть ноутбук, подключаемый то к домашней локалке, то к рабочей, в которых разные днс, шлюзы, айпи и прочее.

но нету dhcp?

Нету, в том-то и дело, если б это назначалось сервером - проблемы бы не было.

gm2k писал(а): ↑

21.04.2007 21:21

Нету, в том-то и дело, если б это назначалось сервером - проблемы бы не было.

ну, если ОС debian, то имеет смысл посмотреть в сторону /etc/network/interfaces и попробовать рыть в сторону:

/path/to/ping-places.sh: