Iptables
De Admin -- TALEVAS.
(Différences entre les versions)
| (Une révision intermédiaire par un utilisateur est masquée) | |||
| Ligne 1 : | Ligne 1 : | ||
| + | ip route replace to default via ${ip_du_routeur} dev eth0 src ${ip_fail_over} | ||
| + | |||
| + | devrait suffire !! | ||
| + | |||
| + | |||
iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source xxx.xxx.xxx.xxx | iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source xxx.xxx.xxx.xxx | ||
| + | |||
| + | |||
| + | Grégoire Compagnon a écrit : | ||
| + | > En fait c'est possible assez facilement avec iptables. Une règle comme ça fait l'affaire : | ||
| + | > iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source 87.98.181.152 | ||
| + | > | ||
| + | > 87.98.181.152 étant mon ip failover. Ça a pour effet de modifier sur le premier packet l'ip source. Pour la suite, plus de problème.. | ||
| + | |||
| + | d'un packet sortant | ||
| + | |||
| + | > L'utilisation du conntrack est importante pour le pas réécrire les packets d'une connexion active (genre le iSCSI :P). | ||
| + | |||
| + | ou reçu | ||
| + | |||
| + | > | ||
| + | > Je n'ai testé que rapidement, y a peut être moyen de faire mieux. Il y a peut être des cas problématique avec certaines applications (n'ayant que ssh et lynx sur mon rps, les tests ont été rapide :P). | ||
| + | > | ||
| + | > | ||
| + | > Grégoire | ||
Version actuelle en date du 27 février 2008 à 12:24
ip route replace to default via ${ip_du_routeur} dev eth0 src ${ip_fail_over}
devrait suffire !!
iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source xxx.xxx.xxx.xxx
Grégoire Compagnon a écrit :
> En fait c'est possible assez facilement avec iptables. Une règle comme ça fait l'affaire :
> iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source 87.98.181.152
>
> 87.98.181.152 étant mon ip failover. Ça a pour effet de modifier sur le premier packet l'ip source. Pour la suite, plus de problème..
d'un packet sortant
> L'utilisation du conntrack est importante pour le pas réécrire les packets d'une connexion active (genre le iSCSI :P).
ou reçu
> > Je n'ai testé que rapidement, y a peut être moyen de faire mieux. Il y a peut être des cas problématique avec certaines applications (n'ayant que ssh et lynx sur mon rps, les tests ont été rapide :P). > > > Grégoire
