боевое использование bgpd

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

боевое использование bgpd

Igor Grabin
Утро,

имеем. ящик с двумя верёвками на входе, поверх чего разогрет bgpd.
свой pi, типа, всё красиво. 2xfullview.
ip'шник из этой pi прибит к lo1

вопрос вот в чём. все исходящие соединения с машины идут от лица того
интерфейса, который смотрит в сторону провайдера пожирнее.

есть варианты, как отучить ящик применять интерфейсные адреса?

pf'ом ой как не хочется. и pf там вовсю нрав показывает.

--
Igor "CacoDem0n" Grabin, http://violent.death.kiev.ua/


Reply | Threaded
Open this post in threaded view
|

Re: боевое использование bgpd

Stanislav Kruchinin
Igor Grabin wrote:
> имеем. ящик с двумя верёвками на входе, поверх чего разогрет bgpd.
> свой pi, типа, всё красиво. 2xfullview.
> ip'шник из этой pi прибит к lo1
>
> вопрос вот в чём. все исходящие соединения с машины идут от лица того
> интерфейса, который смотрит в сторону провайдера пожирнее.
>
> есть варианты, как отучить ящик применять интерфейсные адреса?
>

Не понял, что значит "применять интерфейсные адреса"? Если bgpd что-то делает
неправильно, можно добавить свои статические маршруты.


Reply | Threaded
Open this post in threaded view
|

Re: боевое использование bgpd

Igor Grabin
On Mon, Jan 19, 2009 at 04:11:45PM +0300, Stanislav Kruchinin wrote:
> > имеем. ящик с двумя верёвками на входе, поверх чего разогрет bgpd.
> > свой pi, типа, всё красиво. 2xfullview.
> > ip'шник из этой pi прибит к lo1
> > вопрос вот в чём. все исходящие соединения с машины идут от лица того
> > интерфейса, который смотрит в сторону провайдера пожирнее.
> > есть варианты, как отучить ящик применять интерфейсные адреса?
> Не понял, что значит "применять интерфейсные адреса"? Если bgpd что-то делает
> неправильно, можно добавить свои статические маршруты.
маршруты как раз правильные.

грубо и на пальцах...
есть у нас, предположим, сетевуха rl0, смотрит в сторону первого
провайдера, на ней адрес 10.0.0.1/30
есть сетевуха rl1, смотрит в сторону другого провайдера, на ней
10.0.1.1/30

поверх этой беды bgpd хавает 2xfullview и держит автономку с pi /24

некий ip из этого pi /24, назовём его 91.1.1.1, вывешен на lo1

если шлюзоваться или nat'иться через описуемый ящик - всё хорошо.

но вот его собственная активность, как то запросы squid'а, named'а,
банальный lynx, ходят от интерфейсных адресов - 10.0.1.1 / 10.0.0.1

как это правильно борют умные люди?

--
Igor "CacoDem0n" Grabin, http://violent.death.kiev.ua/


Reply | Threaded
Open this post in threaded view
|

Re: боевое использование bgpd

Gregory Edigarov-2
Igor Grabin wrote:

> On Mon, Jan 19, 2009 at 04:11:45PM +0300, Stanislav Kruchinin wrote:
>  
>>> имеем. ящик с двумя верёвками на входе, поверх чего разогрет bgpd.
>>> свой pi, типа, всё красиво. 2xfullview.
>>> ip'шник из этой pi прибит к lo1
>>> вопрос вот в чём. все исходящие соединения с машины идут от лица того
>>> интерфейса, который смотрит в сторону провайдера пожирнее.
>>> есть варианты, как отучить ящик применять интерфейсные адреса?
>>>      
>> Не понял, что значит "применять интерфейсные адреса"? Если bgpd что-то делает
>> неправильно, можно добавить свои статические маршруты.
>>    
> маршруты как раз правильные.
>
> грубо и на пальцах...
> есть у нас, предположим, сетевуха rl0, смотрит в сторону первого
> провайдера, на ней адрес 10.0.0.1/30
> есть сетевуха rl1, смотрит в сторону другого провайдера, на ней
> 10.0.1.1/30
>
> поверх этой беды bgpd хавает 2xfullview и держит автономку с pi /24
>
> некий ip из этого pi /24, назовём его 91.1.1.1, вывешен на lo1
>
> если шлюзоваться или nat'иться через описуемый ящик - всё хорошо.
>
> но вот его собственная активность, как то запросы squid'а, named'а,
> банальный lynx, ходят от интерфейсных адресов - 10.0.1.1 / 10.0.0.1
>
> как это правильно борют умные люди?
>  
Я бы прописал 91.1.1.1 в конфиги того, что должно исходить с этого
адреса, и радовался бы жизни.


--
With best regards,
        Gregory Edigarov


Reply | Threaded
Open this post in threaded view
|

Re: боевое использование bgpd

Grigoriy Orlov-4
In reply to this post by Igor Grabin
On Mon, Jan 19, 2009 at 05:07:34PM +0200, Igor Grabin wrote:

> On Mon, Jan 19, 2009 at 04:11:45PM +0300, Stanislav Kruchinin wrote:
> > > имеем. ящик с двумя верёвками на входе, поверх чего разогрет bgpd.
> > > свой pi, типа, всё красиво. 2xfullview.
> > > ip'шник из этой pi прибит к lo1
> > > вопрос вот в чём. все исходящие соединения с машины идут от лица того
> > > интерфейса, который смотрит в сторону провайдера пожирнее.
> > > есть варианты, как отучить ящик применять интерфейсные адреса?
> > Не понял, что значит "применять интерфейсные адреса"? Если bgpd что-то делает
> > неправильно, можно добавить свои статические маршруты.
> маршруты как раз правильные.
>
> грубо и на пальцах...
> есть у нас, предположим, сетевуха rl0, смотрит в сторону первого
> провайдера, на ней адрес 10.0.0.1/30
> есть сетевуха rl1, смотрит в сторону другого провайдера, на ней
> 10.0.1.1/30
>
> поверх этой беды bgpd хавает 2xfullview и держит автономку с pi /24
>
> некий ip из этого pi /24, назовём его 91.1.1.1, вывешен на lo1
>
> если шлюзоваться или nat'иться через описуемый ящик - всё хорошо.
>
> но вот его собственная активность, как то запросы squid'а, named'а,
> банальный lynx, ходят от интерфейсных адресов - 10.0.1.1 / 10.0.0.1
>
> как это правильно борют умные люди?

Конфиги сервисов/PF. Другого не дано, так как пакет всегда уходит
с интерфеса, через который стоит роутинг.
У меня такая же конфигурация - 2 fullview. Проблем вроде не имею.

        /gluk


Reply | Threaded
Open this post in threaded view
|

Re[2]: боевое использование bgpd

Cinos
Здравствуйте, Grigoriy.

Вы писали 23 января 2009 г., 15:46:40:

> On Mon, Jan 19, 2009 at 05:07:34PM +0200, Igor Grabin wrote:
>> On Mon, Jan 19, 2009 at 04:11:45PM +0300, Stanislav Kruchinin wrote:
>> > > имеем. ящик с двумя верёвками на входе, поверх чего разогрет bgpd.
>> > > свой pi, типа, всё красиво. 2xfullview.
>> > > ip'шник из этой pi прибит к lo1
>> > > вопрос вот в чём. все исходящие соединения с машины идут от лица того
>> > > интерфейса, который смотрит в сторону провайдера пожирнее.
>> > > есть варианты, как отучить ящик применять интерфейсные адреса?
>> > Не понял, что значит "применять интерфейсные адреса"? Если bgpd что-то делает
>> > неправильно, можно добавить свои статические маршруты.
>> маршруты как раз правильные.
>>
>> грубо и на пальцах...
>> есть у нас, предположим, сетевуха rl0, смотрит в сторону первого
>> провайдера, на ней адрес 10.0.0.1/30
>> есть сетевуха rl1, смотрит в сторону другого провайдера, на ней
>> 10.0.1.1/30
>>
>> поверх этой беды bgpd хавает 2xfullview и держит автономку с pi /24
>>
>> некий ip из этого pi /24, назовём его 91.1.1.1, вывешен на lo1
>>
>> если шлюзоваться или nat'иться через описуемый ящик - всё хорошо.
>>
>> но вот его собственная активность, как то запросы squid'а, named'а,
>> банальный lynx, ходят от интерфейсных адресов - 10.0.1.1 / 10.0.0.1
>>
>> как это правильно борют умные люди?

для намеда

    query-source address  91.1.1.1 port *;
    transfer-source  91.1.1.1 port *;
    alt-transfer-source  91.1.1.1 port *;
    notify-source  91.1.1.1;
    listen-on port 53 { 91.1.1.1; };


listen есть во многих прогах, может по разному называться.

> Конфиги сервисов/PF. Другого не дано, так как пакет всегда уходит
> с интерфеса, через который стоит роутинг.
> У меня такая же конфигурация - 2 fullview. Проблем вроде не имею.

>         /gluk





--
С уважением,
 Cinos                          mailto:[hidden email]