Ищу совета, я выдергиваю волосы, пытаясь понять это! Запуск Redhat (CentOS) с довольно нормальной конфигурацией, и я пока отключил брандмауэр.
У меня есть веб-сервер, который прекрасно работал при следующей настройке:
Server IP: 10.0.0.10
Firewall/Router: 10.0.0.1
Я перенаправляю наш общедоступный IP-адрес, часть 80/443, скажем 72.94.30.30, на внутренний IP-адрес 0.10, и он отлично работает.
Однако недавно мне понадобилось добавить второй SSL-сайт, поэтому мне понадобился новый внешний IP-адрес, который у меня есть от интернет-провайдера. Я добавил в систему вторую сетевую карту, eth1 с "общедоступным" IP 72.94.30.31. Шлюз для этого внешнего IP-адреса теперь 72.94.30.1, который совпадает с брандмауэром / маршрутизатором. Теперь система хочет маршрутизировать все через eth1, отключая первый веб-сайт (и интерфейс).
Теперь мне нужно настроить статические маршруты, но я не могу заставить его делать то, что я хочу. В основном хочу:
Входящий трафик от 72.94.30.30 быть направленным 10.0.0.223 брандмауэром / маршрутизатором (уже сделано), возврат трафика для прохождения 10.0.0.1 на eth0.
Входящий трафик от 72.94.30.31 быть поданным прямо наверх, через 72.94.30.1 на eth1.
Есть какие-нибудь советы по правильной настройке?
Прямо сейчас у меня есть
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.0.0.10
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
default 10.0.0.1 dev eth0
10.0.0.0/24 via 10.0.0.1 dev eth0
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=72.94.30.31
NETMASK=255.255.255.0
GATEWAY=72.94.30.1
default 72.94.30.1 dev eth1
72.94.30.30/32 via 72.94.30.1 dev eth1
72.94.30.31 via 72.94.30.1 dev eth1
72.94.30.30 via 10.0.0.1 dev eth0
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.10
72.94.30.0/24 dev eth1 proto kernel scope link src 72.94.30.31
169.254.0.0/16 dev eth1 scope link
default via 72.94.30.1 dev eth1
Это приводит к 72.94.30.31 трафик работает нормально, но другой интерфейс выбит оффлайн.
Любая помощь приветствуется!
Почему вы так усложняете себе жизнь? Для этого вам не понадобится второй сетевой адаптер. Просто добавьте еще один IP-адрес к первому сетевому адаптеру, чтобы он принимал трафик и для другого IP-адреса.
Затем выполните переадресацию портов в вашем брандмауэре, используя DNAT, для обоих адресов и для разделения внутренних IP-адресов (из-за сертификата SSL) на веб-сервере (который также должен использовать два IP-адреса в одном интерфейсе Ethernet), и Боб твой дядя.
Если это неясно, позвольте мне объяснить по-другому:
Public IP
72.94.30.30 -> DNAT to 10.0.0.10 (ports 80 and 443)
72.94.30.31 -> DNAT to 10.0.0.11 (ports 80 and 443)
Оба общедоступных IP-адреса используют один и тот же физический интерфейс на брандмауэре / маршрутизаторе, и оба внутренних адреса используют один и тот же физический интерфейс на веб-сервере.
удалите маршрут по умолчанию в сети eth1, затем используйте iproute2 и метки брандмауэра, чтобы гарантировать, что трафик, входящий через интерфейс eth1, отправляется через тот же интерфейс.