編集履歴

質問編集履歴

みやすくしました。

2019/09/15 16:20

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -168,8 +168,10 @@
 以下のようにeth1(LAN)にrouteを追加するとeth0(WAN)へのpacketはなくなりました。
 ```
 [root@host ~]# ip route add 150.22.10.3/32 dev eth1
-``
+```

追記2を削除しました。routeのcacheが消えていませんでした。

2019/09/15 16:20

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -172,18 +172,4 @@
 [root@host ~]# ip route add 150.22.10.3/32 dev eth1
-```
+``
-### 追記2
-コメントを受けまして、
-以下のようにiptablesを設定してもeth0(WAN)へのpacketはなくなりました。
-```
-[root@host ~]# iptables -A OUTPUT -t mangle -d 150.22.10.3 -j MARK --set-mark 0x100000
-[root@host ~]# iptables -A FORWARD -t mangle -d 150.22.10.3 -j MARK --set-mark 0x100000
-```

追記

2019/09/15 16:20

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -166,10 +166,24 @@
 コメントを受けまして、
-以下のようにeth1(LAN)にrouteを追加するとeth0(WAN)へのパケットはなくなりました。
+以下のようにeth1(LAN)にrouteを追加するとeth0(WAN)へのpacketはなくなりました。
 ```
 [root@host ~]# ip route add 150.22.10.3/32 dev eth1
 ```
+### 追記2
+コメントを受けまして、
+以下のようにiptablesを設定してもeth0(WAN)へのpacketはなくなりました。
+```
+[root@host ~]# iptables -A OUTPUT -t mangle -d 150.22.10.3 -j MARK --set-mark 0x100000
+[root@host ~]# iptables -A FORWARD -t mangle -d 150.22.10.3 -j MARK --set-mark 0x100000
+```

修正

2019/09/15 16:12

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -166,7 +166,7 @@
 コメントを受けまして、
-以下のようにeth1にrouteを追加するとeth0へのパケットはなくなりました。
+以下のようにeth1(LAN)にrouteを追加するとeth0(WAN)へのパケットはなくなりました。
 ```

追記

2019/09/15 15:51

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -159,3 +159,17 @@
 150.22.0.0/16はお借りしているvpsサーバーのもつaddressです。
 srcで指定している150.22.13.3は、iptablesやrouteが設定されている対象のhostです。
+### 追記1
+コメントを受けまして、
+以下のようにeth1にrouteを追加するとeth0へのパケットはなくなりました。
+```
+[root@host ~]# ip route add 150.22.10.3/32 dev eth1
+```

タグを追加

2019/09/15 15:50

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

File without changes

メッセージを追記

2019/09/15 07:42

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -9,6 +9,8 @@
 ### わからないこと
 クラスターを組んでいるサーバー同士で、global ip addressを使ってWANで通信するところを、LANのinterfaceの経路に変更したのですが、一部WANのinterfaceを使う通信が起きるのはなぜでしょうか。
+iptablesではLANに向かわせたいpacketを完全に捕捉できていると思うのですが、なぜかWANになってしまいます。

MARKの削除を修正

2019/09/15 07:35

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -102,6 +102,14 @@
     0     0 ACCEPT     all  --  *      *       0.0.0.0/0            150.22.10.3      mark match 0x100000/0x100000
+[root@host ~]# iptables -t filter -L | grep MARK -B2
+[root@host ~]# iptables -t nat -L | grep MARK -B2
+[root@host ~]# iptables -t raw -L | grep MARK -B2
+[root@host ~]
 ```

iptables 追記

2019/09/15 07:29

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -78,29 +78,29 @@
 ```
-[root@host ~]# iptables -t mangle -L | grep MARK -B2
+[root@host ~]# iptables -t mangle -nvL | grep MARK -B2 -A2
-Chain FORWARD (policy ACCEPT)
+Chain FORWARD (policy ACCEPT 11083 packets, 3982K bytes)
-target     prot opt source               destination
+ pkts bytes target     prot opt in     out     source               destination
-MARK       all  --  anywhere             anywhere             match-set internal-hosts dst MARK set 0x100000
+ 434K  154M MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set internal-hosts dst MARK set 0x100000
+    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            150.22.10.3      mark match ! 0x100000/0x100000
+ 1200  251K ACCEPT     all  --  *      *       0.0.0.0/0            150.22.10.3      mark match 0x100000/0x100000
 --
-Chain OUTPUT (policy ACCEPT)
+Chain OUTPUT (policy ACCEPT 104 packets, 11776 bytes)
-target     prot opt source               destination
+ pkts bytes target     prot opt in     out     source               destination
-MARK       all  --  anywhere             anywhere             match-set internal-hosts dst MARK set 0x100000
+  102  4576 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set internal-hosts dst MARK set 0x100000
-[root@host ~]# iptables -t filter -L | grep MARK -B2
+    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            150.22.10.3      mark match ! 0x100000/0x100000
-[root@host ~]# iptables -t nat -L | grep MARK -B2
+    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            150.22.10.3      mark match 0x100000/0x100000
-[root@host ~]# iptables -t raw -L | grep MARK -B2
-[root@host ~]
 ```

MARKを追記

2019/09/15 07:27

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -78,21 +78,29 @@
 ```
-[root@host ~]# iptables -nvL OUTPUT -t mangle
+[root@host ~]# iptables -t mangle -L | grep MARK -B2
-Chain OUTPUT (policy ACCEPT 1317 packets, 389K bytes)
+Chain FORWARD (policy ACCEPT)
- pkts bytes target     prot opt in     out     source               destination
+target     prot opt source               destination
-  102  4576 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set internal-hosts dst MARK set 0x100000
+MARK       all  --  anywhere             anywhere             match-set internal-hosts dst MARK set 0x100000
-[root@host ~]# iptables -nvL FORWARD -t mangle
+--
-Chain FORWARD (policy ACCEPT 211K packets, 74M bytes)
+Chain OUTPUT (policy ACCEPT)
- pkts bytes target     prot opt in     out     source               destination
+target     prot opt source               destination
- 103K   37M MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set internal-hosts dst MARK set 0x100000
+MARK       all  --  anywhere             anywhere             match-set internal-hosts dst MARK set 0x100000
+[root@host ~]# iptables -t filter -L | grep MARK -B2
+[root@host ~]# iptables -t nat -L | grep MARK -B2
+[root@host ~]# iptables -t raw -L | grep MARK -B2
+[root@host ~]
 ```

追記

2019/09/15 07:15

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -137,3 +137,7 @@
 	nexthop dev eth5 weight 1
 ```
+150.22.0.0/16はお借りしているvpsサーバーのもつaddressです。
+srcで指定している150.22.13.3は、iptablesやrouteが設定されている対象のhostです。

修正

2019/09/15 06:52

投稿

urbainleverrier

スコア200

test CHANGED Viewed

	@@ -1 +1 @@
1	- ~~パケット~~の経路変更ができません
1	+ packetの経路変更ができません

test CHANGED Viewed

@@ -27,6 +27,10 @@
 15:38:28.418688 IP 150.22.13.3.sun-sr-https > 150.22.10.3.48112: Flags [.], ack 4010106138, win 270, options [nop,nop,TS val 1732446 ecr 44156350], length 0
 ```
+150.22.13.3と150.22.10.3が内部のhostです。これをWAN用のeth0を使うことなく、eth1以降のLAN用のinterfaceを使って通信をしたいです。

修正

2019/09/15 06:49

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -1,6 +1,6 @@
 ### 実現したいこと
-- 内部のサーバー同士をプライベートな通信にさせたいです
+- 内部のサーバー同士をprivateな通信にさせたいです
 - globalなnetworkの帯域を消費させたくないと思っています
@@ -32,9 +32,9 @@
 ### 設定した内容
-ipsetでホストのアドレスを登録し、iptablesでOUTPUT CHAINとFORWARD CHAINで宛先がipsetに合致するものをMARKしました。
+ipsetでhostのaddressを登録し、iptablesでOUTPUT CHAINとFORWARD CHAINで宛先がipsetに合致するものをMARKしました。
-policy based routingでMARKされたパケットをLANのインターフェースに流すといった具合に行いました。
+policy based routingでMARKされたpacketをLANのinterfaceに流すといった具合に行いました。