Dotaz: Routing do stejnych siti

Dobry den,

mam server, ktery sbira MRTG statistiky z cele site. Bokuzel mam nektere subnety, ktere maji konfliktni rozsahy IP adres (a nelze s tim nc udelat - jedna se o proprietalni systemy vyzadujici preddefinovane adresy).

V soucasnosti to resim tak, ze mam 4 ruzne stroje a v kazdem po dvou sitovkach. Jedna pripojena do dohledove site a druha do monitorovane site.

Chci tohle reseni nahradit jednim strojem s vice kartama (lepe receno s jednou VLAN capable kartou (802.1q) a VLAN switchem.

Jak se ale vyporadat s routingem?

Reseni 1) Prvnim napadem bylo 'nejak' oznacit pomoci iptables kazdy paket atributem MARK a v 'ip route' pak definovat ruzne tabulky pro ruzne MARKy.

Vypada to hezky. Mark se da nastavit i pomoci user ID volajiciho procesu, takze by pak stacilo spoustet z cronu kazdy mrtg proces pod jinym userem a ten by pok dostal prirazenou jinou routovaci tabulku.

Ale... Nefunguje to. Routovani pro lokalni pakety probiha drive nez se dostane ke slovu iptables.

Reseni 2) Routovani preplacnout pomoci targetu ROUTE z patch-o-matic asi takhle:

iptables -A OUTPUT -t mangle -m owner --uid-owner 500 -j MARK --set-mark 5

iptables -A POSTROUTING -t mangle -m mark --mark 5 -j ROUTE --oif eth1 --continue

atd...

Krom ICMP paketu to zda se funguje. Ale je to kapanek krkolomne a nestandartni reseni.

Reseni 3) Spustit na tom serveru dalsi virtualni servery a jednotlive sitove adaptery nabridgovat do virtualnich stroju. Kazdy virtualni stroj by pak mel vlastni routovaci tabulku kde by vse vyresil jen pro svuj smer. Tim se ale dostavam zpet do stavu kdy mam nekolik stroju a musim kazdy zvlast udrzovat, patchovat a podobne. jen usporim trochu mista.

Napada Vas nejake dalsi reseni vhodne pro tento pripad?

Napriklad by slo MRTG explicitne nabindovat promo na dany adapter, ale nechci zasahovat do zdrojaku MRTG, nehlede na to ze do budoucna by z teto masiny mely bezet i jine zalezitosti a to by pak mohlo byt peklo...

Predem dik za jakekoliv napady

Hubik