Перенаправление пакетов в другую сеть из Jail
Добавлено: 2009-01-21 15:02:58
Hi All!
Возникла небольшая проблема, может кто сталкивался...
Есть ряд серверов, каждый с двумя сетевыми интерфейсами (em0 и em1). Топология сети следующаа: em0 каждого сервера подключен 100Мбитным линком к провайдеру, на каждый сервер выделен один реальный опорный IP и n-ное кол-во алиасов (как правило 4). em1 каждого сервера подключен 1000Мбитным линком к локальному общему свичу для перегона между серверами всякого объемного и/или секурного трафика, каждому серверу присваивается один фейковый IP.
На серверах ОС FreeBSD:
Пример типового ifconfig одного из серверов:
Решили внедрять jail на серверах, чтобы как-нибудь разгрести помойку из сайтов по кучкам. Внедрение происходило вполне стандартным способом.
Получается, что внутри джейла есть только один IP (реальный, один из алиасов). Он смотрит в интернет. Но нужен еще доступ в фейковую сеть, для осуществления гоняния данных через собственный гигабитный свич. С ходу рецепт не придумал, но душой понимаю, что траф в 10.0.0.0/24 из JAIL можно на корневой системе завернуть с помощью фаервола. Вот только как?
Стоит IPFW, но выбор не окончательный.
Возникла небольшая проблема, может кто сталкивался...
Есть ряд серверов, каждый с двумя сетевыми интерфейсами (em0 и em1). Топология сети следующаа: em0 каждого сервера подключен 100Мбитным линком к провайдеру, на каждый сервер выделен один реальный опорный IP и n-ное кол-во алиасов (как правило 4). em1 каждого сервера подключен 1000Мбитным линком к локальному общему свичу для перегона между серверами всякого объемного и/или секурного трафика, каждому серверу присваивается один фейковый IP.
На серверах ОС FreeBSD:
Код: Выделить всё
FreeBSD xxx.ru 7.0-RELEASE-p5 FreeBSD 7.0-RELEASE-p5 #0: Thu Dec 4 16:31:57 MSK 2008
Код: Выделить всё
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:30:48:c4:1d:4e
inet 217.23.xxx.xxx netmask 0xffffffc0 broadcast 217.23.xxx.yyy
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:30:48:c4:1d:4f
inet 10.0.0.6 netmask 0xffffff00 broadcast 10.0.0.255
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
inet 212.158.xxx.xx1 netmask 0xffffffff
inet 212.158.xxx.xx2 netmask 0xffffffff
inet 212.158.xxx.xx3 netmask 0xffffffff
inet 212.158.xxx.xx4 netmask 0xffffffff
Получается, что внутри джейла есть только один IP (реальный, один из алиасов). Он смотрит в интернет. Но нужен еще доступ в фейковую сеть, для осуществления гоняния данных через собственный гигабитный свич. С ходу рецепт не придумал, но душой понимаю, что траф в 10.0.0.0/24 из JAIL можно на корневой системе завернуть с помощью фаервола. Вот только как?
Стоит IPFW, но выбор не окончательный.