Linuxでiptablesを使ってDSRする - (ひ)メモ
1. リアルサーバ側にもグローバルIPを振る必要がある(IPが少ないところは結構きついかも). リアルサーバでは、VIPをループバックインターフェースにIP aliasすればいいので、リアルサーバの数だけグローバルIPアドレスを消費するってことはないような。(誤読してるかも ただ、この方式だと、VIPの数だけいちいちリアルサーバにIP aliasして回らないといけないので、わりと大規模(VIPがたくさんある or リアルサーバがたくさんある)だとめんどくさいことこの上ない。 で、リアルサーバでこんなiptablesのルールを設定すれば、IP aliasしないでDSRできそうというのが主題。 VIP=10.1.1.0/24 iptables -t nat -A PREROUTING -d $VIP -j REDIRECT多分、これでいけると思うんですけどちと自信なし。検証 and 詳しい説明
Trasis Lab » DSR(Direct Server Return)メモ
概要 BIG-IP + Linux 2台(CentOS 5) で DSR(Direct Server Retrun) 構成を行ったときの設定メモ。 DSRとは こちらの記事が分かりやすい。 この記事にあるように、このままだと mac アドレスがあちこちにキャッシュされてしまい、いろいろ問題が出て少々やっかいだった。 次のように iptables と組み合わることで、簡単にこの問題を解決できる。 バックエンド設定 Linux サーバの /etc/sysconfig/iptables に対し、次の設定を行う。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT # ================================================================
ステートフルパケットフィルタを使ったサービスの公開
・外部からの接続パケットは基本的にすべて破棄 ・内部からの接続パケットは基本的にすべて破棄 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ・サーバからメンテナンスホストへのsshは許可しない サーバに接続する端末をメンテナンスホストとして固定して、そこからのssh接続のみを許可するようにします。ssh以外に、運用上サーバの死活を監視する目的でpingコマンドを使用する可能性があるため、ICMPを許可します。 テンプレート1の内容を説明します。適宜、以下のリンクでリストを表示させるかテンプレートをダウンロードしてください。 テンプレート1の解説 3、4行目でメンテナンスホスト(trusthost)とサーバ(myhost)のIPアドレスを指定します。これらの値は何度も
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
