Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7163268
  • 博文数量: 3857
  • 博客积分: 6409
  • 博客等级: 准将
  • 技术积分: 15948
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-02 16:48
个人简介

迷彩 潜伏 隐蔽 伪装

文章分类

全部博文(3857)

文章存档

2017年(5)

2016年(63)

2015年(927)

2014年(677)

2013年(807)

2012年(1241)

2011年(67)

2010年(7)

2009年(36)

2008年(28)

分类:

2012-05-18 09:15:12

    利用linux的策略路由加连接跟踪可以做到双出口上网的负载均衡,这种负载均衡是基于连接的,比基于源地址或目的地址的效果更好,传统基于源地址的负载 均衡是指定一部分内网用户走A出口、另一部分内网用户走B出口,传统的基于目的地址的负载均衡是将流量按目的地址进行分流,也就是说访问S1服务器的总走A出口,访问S2服务器的总走B出口。
    基于连接的负载均衡则可以按照连接(会话)将流量分到不同的出口。其基本原理是linux的conntrack模块可以建立连接跟踪,这些连接跟踪具有状态信息,我们对于新建的连接,可以利用statistic模块的功能对连接进行区分,然后给不同的连接按照线路数打上不同的标志,再利用connmark 模块对连接的数据包做相应的标志,这个标志就是用于策略路由的,这样就可以把不同的连接分到不同的出口,采用循环分配的方式。
    实际测试的服务器采用debian5.03(内核2.6.26.2),他需要包含netfilter的以下模块:nat、conntrack、 connmark、CONNMARK、mark、MARK、statistic。另外需要使用策略路由,所以需要用到iproute2工具包,内核必须开启策略路由和连接跟踪(编译时要选择)
配置如下:
eth0:外网1,接口IP:10.0.1.2/24 网关:10.0.1.1
eth1:外网2,接口IP:10.0.2.2/24 网关:10.0.2.1
eth2:内网,接口IP:192.168.3.0/24
 
加载nat:
modprobe -v ip-nat
 
设置iptables:先对新建连接轮流打上1、2的标志(基于连接的标志),然后根据连接标志给数据包打上对应的标志
iptables -t mangle -A PREROUTING -s 192.168.3.0/24 -m conntrack --ctstate NEW -m statistic --
mode nth --every 2 --packet 1 -j CONNMARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.3.0/24 -m conntrack --ctstate NEW -m statistic --mode nth --every 2 --packet 0 -j CONNMARK --set-mark 2
iptables -t mangle -A PREROUTING -m connmark --mark 1 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -m connmark --mark 2 -j MARK --set-mark 2
 
设置nat:
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth1 -j MASQUERADE
 
设置两个策略路由表table10和table20:
ip route add default via 10.0.1.1 table 10    (注意:这里不能使用dev eth0)
ip route add 192.168.3.0/24 dev eth2 table 10
ip route add default via 10.0.2.1 table 20    (注意:这里不能使用dev eth1)
ip route add 192.168.3.0/24 dev eth2 table 20
 
设置策略路由规则:标志为1的走出口1、标志位2的走出口2
ip rule add pref 10 fwmark 1 table 10
ip rule add pref 10 fwmark 2 table 20
 
另外在ubuntu9.10server中测试有问题,通过以上配置后发现无法上网,tcpdump显示返回数据包无法进行nat转换!
阅读(786) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~