Маршрут по правилам linux

Маршрутизация на основе политик. Часть первая

Так будет выглядеть роутинг при использовании на интерфейсе enp0s3 ip-адреса 192.168.110.50 с маской подсети 255.255.255.0 и шлюзом по умолчанию 192.168.110.1 :

# ip route show default via 192.168.110.1 dev enp0s3 192.168.110.0/24 dev enp0s3 proto kernel scope link src 192.168.110.50

• пакеты в подсеть 192.168.110.0/24 уходят через интерфейс enp0s3
• proto kernel — маршрут был добавлен ядром при назначении интерфейсу ip-адреса
• scope link — запись действительна только для интерфейса enp0s3
• src 192.168.110.50 — задает ip-адрес отправителя пакетов для этого правила

Первая запись означает, что пакеты на любые хосты, не попадающие в подсеть 192.168.110.0/24 будут уходить в шлюз 192.168.110.1 через интерфейс enp0s3 . Шлюз, в свою очередь, меняет ip-адрес отправителя, если используется NAT, либо просто отправляет пакет дальше.

Маршрутизация на основе политик

Существуют два механизма маршрутизации: классический destination-routing (на основе адреса назначения) и сравнительно новый policy-routing (на основе политик). Маршрутизация на основе политик применяется в случае наличия нескольких сетевых интерфейсов и необходимости отправлять определенные пакеты через определенный интерфейс. Маршрут пакета определяется не только на основе адреса назначения — есть возможность анализа практически любых полей пакета.

В основе маршрутизации с использованием политик лежат четыре понятия:

• Адрес ( address ) определяет ip-адрес места назначения пакета
• Маршрут ( route ) задает путь пакета, как в традиционной маршрутизации
• Таблица маршрутизации ( routing table ) состоит из набора нескольких маршрутов
• Правила ( rule ) позволяют отбирать нужные пакеты и направлять по заданному маршруту

Таблицы маршрутизации

Изначально предопределены таблицы мартшрутизации local , main и default :

• В таблицу local ядро заносит записи для локальных ip-адресов (чтобы трафик на эти ip-адреса оставался локальным и не пытался уходить во внешнюю сеть), а также для бродкастов.
• Таблица main является основной и именно она используется, если в команде ip route не указано какую таблицу использовать (в самом начале мы видели именно таблицу main ).
• Таблица default изначально пуста.

Давайте посмотрим на содержимое таблицы local :

# ip route show table local broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 192.168.110.0 dev enp0s3 proto kernel scope link src 192.168.110.50 local 192.168.110.50 dev enp0s3 proto kernel scope host src 192.168.110.50 broadcast 192.168.110.255 dev enp0s3 proto kernel scope link src 192.168.110.50

Выше мы уже сталкивались с типом записи default , но здесь мы видим еще local и broadcast :

• broadcast — для этой записи пакеты будут отправлены как широковещательное сообщение
• local — для этой записи пакеты будут отправлены локально, без выхода во внешнюю сеть

Кроме того, типы записи могут быть unicast , unreachable , blackhole , prohibit и так далее:

• unicast — обычный маршрут: исходящий интерфейс + адрес следующего хопа до пункта назначения
• unreachable — пакет выбрасывается и посылается ICMP сообщение «host unreachable»
• blackhole — пакет просто выбрасывается без возвращения какого-либо сообщения
• prohibit — пакет выбрасывается и посылается ICMP сообщение «administratively prohibited»

Что такое scope link мы уже знаем, но здесь еще встречается scope host :

• scope host — эта запись действительна только для этого хоста
• scope link — эта запись действительна только для этого интерфейса

Для просмотра содержимого всех таблиц в качестве имени таблицы следует указывать all , unspec или ноль. Все таблицы на самом деле имеют цифровые идентификаторы от 1 до 255, их символьные имена задаются в файле /etc/iproute2/rt_tables и используются лишь для удобства.

# ip route show table unspec .

# cat /etc/iproute2/rt_tables 255 local 254 main 253 default 0 unspec

Таблица unspec — это псевдо-таблица, которая содержит в себе правила всех таблиц маршрутизации системы. Именно поэтому у нее номер ноль, который не входит в диапазон с 1 по 255.

Правила маршрутизации

Как же ядро выбирает, в какую таблицу отправлять пакеты? Мы уже знаем — для этого есть правила:

# ip rule show 0: from all lookup local 32766: from all lookup main 32767: from all lookup default

Число в начале строки — идентификатор правила, from all — условие, означает пакеты с любых адресов, lookup указывает, в какую таблицу направлять пакет. Если пакет подпадает под несколько правил, то он проходит их все по порядку возрастания идентификатора. Конечно, если пакет подпадет под какую-либо запись маршрутизации, то последующие записи маршрутизации и последующие правила он уже проходить не будет.

• from — отправитель пакета.
• to — получатель пакета.
• iif — имя интерфейса, на который пришел пакет.
• oif — имя интерфейса, с которого уходит пакет. Это условие действует только для пакетов, исходящих из локальных сокетов, привязанных к конкретному интерфейсу.
• tos — значение поля TOS ip-пакета.
• fwmark — проверка значения FWMARK пакета. При помощи правил iptables можно отфильтровать пакеты по огромному количеству признаков и установить определенные значения FWMARK . А затем эти значения учитывать при роутинге.

Условия можно комбинировать, например from 192.168.1.0/24 to 10.0.0.0/8 , а также можно использовать префикc not , который указывает, что пакет не должен соответствовать условию, чтобы подпадать под это правило.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

• 1С:Предприятие (31)
• API (29)
• Bash (43)
• CLI (99)
• CMS (139)
• CSS (50)
• Frontend (75)
• HTML (66)
• JavaScript (150)
• Laravel (72)
• Linux (146)
• MySQL (76)
• PHP (125)
• React.js (66)
• SSH (27)
• Ubuntu (68)
• Web-разработка (509)
• WordPress (73)
• Yii2 (69)
• БазаДанных (95)
• Битрикс (66)
• Блог (29)
• Верстка (43)
• ИнтернетМагаз… (84)
• КаталогТоваров (87)
• Класс (30)
• Клиент (27)
• Ключ (28)
• Команда (68)
• Компонент (60)
• Конфигурация (62)
• Корзина (32)
• ЛокальнаяСеть (28)
• Модуль (34)
• Навигация (31)
• Настройка (140)
• ПанельУправле… (29)
• Плагин (33)
• Пользователь (26)
• Практика (99)
• Сервер (74)
• Событие (27)
• Теория (105)
• Установка (66)
• Файл (47)
• Форма (58)
• Фреймворк (192)
• Функция (36)
• ШаблонСайта (68)

Источник

Просмотр и построение таблиц маршрутизации в Linux

Вся цифровая информация передаётся по сети в виде пакетов данных. По пути от отправителя к адресату они проходят через цепочку промежуточных устройств – маршрутизаторов (роутеров) и/или соответственно настроенных компьютеров.

Маршрутизация – это процесс определения пути (сетевого маршрута) для установки соединения между хост-устройствами. Этот путь настраивается как внутри локального устройства, так и на маршрутизаторе.

Построение сетевого маршрута происходит на основе информации из таблиц маршрутизации. Для их формирования применяются протоколы маршрутизации или инструкции сетевого администратора.

Каждая таблица содержит ряд параметров, позволяющих правильно идентифицировать и читать сетевой маршрут. Таблица содержит минимум 5 разделов:

• Destination (Target). IP-адрес сети назначения – конечной цели для передаваемых данных.
• Netmask (Genmask). Маска сети.
• Gateway. IP-адрес шлюза, через который можно добраться до цели.
• Interface. Адрес сетевого интерфейса, по которому доступен шлюз.
• Metric. Числовой показатель, задающий предпочтительность маршрута.

Опционально в таблице также может содержаться следующая информация:

• адрес отправителя (source);
• размер TCP-окна (window);
• максимальная величина пакета (MSS) и типы записей.

Как посмотреть таблицу маршрутизации

Таблицу маршрутизации в Linux (например, в популярных серверных ОС типа Ubuntu или CentOS) можно посмотреть с помощью нескольких команд.

Команда route

Программа используется для настройки параметров статической маршрутизации. Просмотр таблицы можно осуществить с помощью команды:

Команда netstat

Утилита используется для сбора информации о состоянии сетевых соединений. Вывести таблицу можно с помощью команды:

Построение таблицы маршрутизации

Существует несколько основных утилит для настройки таблицы маршрутизации (добавления, обновления, удаления старых и новых маршрутов):

• Route. Устаревшая утилита, входящая в состав пакета net-tools. Служит для отображения таблицы маршрутизации и построения статических маршрутов.
• IP Route. Обновленный инструмент, призванный заменить Route. Имеет большую функциональность, по сравнению со своим предшественником.

Оба инструмента могут использоваться для выполнения аналогичных задач. Далее будет рассмотрен синтаксис каждого в пределе основных возможностей.

Route

Команда имеет следующий вид:

route [-f] [-p] command -net [destination] netmask [MASK netmask] gw [gateway] metric [METRIC metric] dev [IF interface]

Ключи

• -f – очистка таблиц от записей всех шлюзов.
• -p – сохранение маршрута в качестве постоянного при использовании ADD. По умолчанию все маршруты временные и после перезагрузки системы сбрасываются.

Основные опции (command)

• add – добавление маршрута.
• del – удаление маршрута.
• replace – замена маршрута.
• change – изменение или настройка параметров маршрута.

Обозначения

• [destination] – адрес сети назначения.
• [MASKnetmask] – маска подсети.
• [gateway] – адрес шлюза.
• [METRICmetric] – числовой показатель, задающий предпочтительность маршрута (используется в том случае, если устройство является маршрутизатором).
• [IFinterface] – сетевой интерфейс.

Опции для указания вводных данных

IP Route

Команда имеет следующий вид:

ip route command [destination] netmask [MASK netmask] via [gateway] metric [METRIC metric] dev [IF interface]

Основные опции (command)

• add – добавление маршрута.
• del – удаление маршрута.
• replace – замена маршрута.
• change – изменение или настройка параметров маршрута.

Обозначения

• [destination] – адрес сети назначения.
• [MASKnetmask] – маска подсети.
• [gateway] – адрес шлюза.
• [METRICmetric] – числовой показатель, задающий предпочтительность маршрута (используется в том случае, если устройство является маршрутизатором).
• [IFinterface] – сетевой интерфейс.

Опции для указания вводных данных

• via – используется в значении «через» для указания шлюза.
• dev – сетевой интерфейс.
• netmask – маска подсети.
• metric – метрика.

Примеры статической маршрутизации

Составление нового маршрута

Можно представить два офиса: A и B. В каждом стоят маршрутизаторы на Linux, которые соединены между собой IP-IP туннелем.

Маршрутизатор A имеет IP-адрес — 192.168.1.1, а маршрутизатор B — 192.168.1.2.

Чтобы подключение к локальной сеть маршрутизатора A стало возможным из локальной сети маршрутизатора B и наоборот, нужно прописать на маршрутизаторе B:

route add -net 172.16.10.0/24 gw 192.168.1.1

Будет произведена установка шлюза «192.168.1.1» для сети «172.16.10.0/24».

Также необходимо прописать на маршрутизаторе A обратный маршрут в локальную сеть маршрутизатора B:

route add -net 172.20.0.0/24 gw 192.168.1.2

Изменение локальной сети

В случае изменения локальной сети маршрутизатора B, необходимо удалить старую запись:

route del -net 172.20.0.0/24 gw 192.168.1.2

А после добавить новый маршрут на маршрутизаторе А:

route add -net 172.20.0.0/24 gw 192.168.1.2

Изменение адреса тоннеля

Если на маршрутизаторе B изменится IP-адрес туннеля, то следует также актуализировать адрес шлюза на маршрутизаторе А:

ip route replace 172.16.10.0/24 via 192.168.1.3

После выполнения команды адрес шлюза для подсети «172.16.10.0/24» будет изменён.

Изменение провайдера

Чтобы перенаправить трафик через другого провайдера («ISP2»), следует изменить маршрут «по умолчанию» («default»):

ip route replace default via 5.215.98.7

Надежный хостинг для сайта. 14 дней — бесплатно!

Мы всегда на связи в соцсетях

Поддержка в привычной среде

Источник