Um servidor controlando duas redes e dois - Só sai pelo link principal

nca
(usa Ubuntu)

Enviado em 18/02/2014 - 17:00h

Boa tarde.

Estou com um problema na rede.

Temos um servidor proxy Squid3 na distribuição Ubuntu 12 64 bits.
Neste micro temos quatro placas de rede, sendo duas redes internas (privada e publica) e dois links de internet.

As duas redes saem para a internet normal, mas as duas saem por somente um link.

Preciso que o que vier da rede interna, saia pelo link1 e da rede publica, pelo link2...

Basicmante:
é trafego da eth0? Sai pela eth2
é trafego da eth1? Sai pela eth3

(Preciso tanto por NAT quando pelo Squid)

No squid uso:
tcp_outgoing_address 192.168.0.250 rede_privada
tcp_outgoing_address 192.168.100.250 rede_publica

Mas não funcionou. Acredito que seja por causa do problema com as rotas.

Tentei com a marcação abaixo, mas simplesmente não sai. Não funciona

######## WANS
#
WAN_PLACA1=eth2 #WAN loja
WAN_PLACA2=eth3 #WAN publica

WAN_REDE1=192.168.0.0/24
WAN_REDE2=189.84.181.0/24

WAN_IP1=192.168.0.250
WAN_IP2=189.84.AAA.AAC

#
######## LANS
#
LAN_PLACA1=eth0 # LAN loja
LAN_PLACA2=eth1 # LAN publica

LAN_REDE1=192.168.1.0/24
LAN_REDE2=192.168.100.0/24

LAN_IP1=192.168.1.250
LAN_IP2=192.168.100.250

LAN_GW1=192.168.0.2
LAN_GW2=189.84.AAA.BBB

ip route add default via $LAN_GW1 table link1
ip route add default via $LAN_GW2 table link2
ip rule add fwmark 1 table link1
ip rule add fwmark 2 table link2
ip rule add from $LAN_REDE1 table link1
ip rule add from $LAN_REDE2 table link2
ip route flush cache
iptables -t mangle -A PREROUTING -i $LAN_PLACA1 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i $LAN_PLACA2 -j MARK --set-mark 2


Tentei também:

iptables -t mangle -I PREROUTING -i eth1 -j MARK --set-mark 2
ip rule add fwmark 2 table link2 prio 20
ip rule add from 192.168.100.0/24 table link2
ip route add default via 189.84.181.254 dev eth3 table link2

E

ip rule add from 189.84.181.98 table link2 prio 30
ip route add 189.84.181.98 via 189.84.181.254 dev eth3 table link2
ip route add default via 189.84.181.254 table link2

E não funcionaram.

O default route está no 192.168.0.2

Não entendo do "ip". Qual a melhor e mais correta forma de ser fazer isso?

Obrigado!

nca
(usa Ubuntu)

Enviado em 07/03/2014 - 11:42h

Nada?

Ainda não consegui resolver isso.

lejoso
(usa Debian)

Enviado em 07/03/2014 - 13:23h

O que acontece é o seguinte:
Por Regras de firewall e tabela de roteamento não vai funcionar, por que como as requisições são enviadas ao serviço do proxy, o proxy que se encarregará de buscar a página e com isso o ip de origem será o ip do link default, jamais o da rede local. Via firewall funciona apenas para estações nateadas.
Para funcionar deverá ser feito via squid, com o tcp_outgoing. Não conheço muito, mas pelo que pesquisei a estrutura é a seguinte:

tcp_outgoing_address gw acl

Pelas suas informações acredito que ficaria da seguinte forma:

tcp_outgoing_address 192.168.0.2 rede_privada
tcp_outgoing_address 189.84.AAA.BBB rede_publica

Caso não funcione, ao invés do gateway nas duas acl acima coloque os ips das interfaces wan.

tcp_outgoing_address 192.168.0.250 rede_privada
tcp_outgoing_address 189.84.AAA.AAC rede_publica