Pour les serveurs qui poss\u00e8dent 2 cartes ethernet avec des adresses IP dans des VLAN diff\u00e9rents et sans configuration suppl\u00e9mentaire, les trames IP qui arrivent sur l\u2019interface eth1 ont les r\u00e9ponses qui partent sur eth0, qui est l\u2019interface qui dispose de la gateway par d\u00e9faut.<\/p>\n
Ceci peut poser des probl\u00e8mes de routage et de contr\u00f4le des acc\u00e8s.<\/p>\n
Pour rem\u00e9dier \u00e0 cela, je vous propose une solution qui \u00e0 l\u2019air de fonctionner et fait passer les trames aller\/retour sur la m\u00eame interface:<\/p>\n
1) ajouter dans le fichier \/etc\/iproute2\/rt_tables les lignes \u201c<num\u00e9ro table> <nom table>\u201d<\/p>\n
2) Si un serveur du vlan eth1 se connecte \u00e0 l\u2019adresse eth0 du serveur, pour que les paquets retour de la connexion utilisent l\u2019interface eth0 comme les paquets aller et non eth1:<\/p>\n
ip route add default via <gateway vlan eth0> dev eth0 table <nom table 1>
\nip rule add from <vlan eth0> to <vlan eth1> table <nom table 1> priority <niveau 1><\/p>\n
3) Pour une connexion entre 2 serveurs du vlan eth1, pour que les paquets passent par l\u2019interface eth1 sans contacter la gateway d\u2019eth1 qui sera d\u00e9finie dans la r\u00e8gle suivante et \u00e9viter ainsi le filtrage de la gateway:<\/p>\n
ip route add dev eth1 table <nom table 2>
\nip rule add from <vlan eth1> to <vlan eth1> table <nom table 2> priority <niveau 2><\/p>\n
4) Si un serveur hors du vlan eth1 se connecte \u00e0 l\u2019adresse eth1 du serveur, pour que les paquets retour passent par eth1 et non la default gateway de eth0.<\/p>\n
ATTENTION: cette r\u00e8gle doit obligatoirement avoir un niveau de priorit\u00e9 sup\u00e9rieur \u00e0 la r\u00e8gle pr\u00e9c\u00e9dente:<\/p>\n
ip route add default via <gateway vlan eth1> dev eth1 table <nom table 3>
\nip rule add from <vlan eth1> table <nom table 3> priority <niveau 2> + 1<\/p>\n
5) faire un flush des routes:<\/p>\n
ip route flush cache<\/p>\n
6) pour que les d\u00e9finitions soient ajout\u00e9es\/supprim\u00e9es lors des activations\/d\u00e9sactivations des interfaces, il faut cr\u00e9er les scripts shell \/sbin\/ifup-local et \/sbin\/ifdown-local.<\/p>\n
Le premier script contiendra les r\u00e8gles vues pr\u00e9c\u00e9demment et le second les m\u00eame r\u00e8gles en modifiant \u201cadd\u201d par \u201cdel\u201d.<\/p>\n
Ces scripts sont automatiquement appel\u00e9s par les scripts de manipulation des interfaces r\u00e9seaux et sont lanc\u00e9s avec comme param\u00e8tre le nom de l\u2019interface.<\/p>\n
Dans les scripts c\u2019est le test de ce param\u00e8tre (exemple eth1) qui permettra de cr\u00e9er\/supprimer les r\u00e8gles de routage.<\/p>\n
Les commandes pour v\u00e9rifier la configuration:<\/p>\n
pour voir les r\u00e8gles: ip rule show<\/p>\n<\/li>\n
pour voir le routage: ip route show table vlan124<\/p>\n<\/li>\n<\/ol>\n
Exemple d\u2019un serveur avec le vlan 51 sur eth0 et le vlan 124 sur eth1:<\/p>\n
1) fichier rt_tables:<\/p>\n
51 \tvlan51\r\n124\tvlan124\r\n125\tvlan124out<\/pre>\n2) Pour que les paquets qui sortent de 10.144.51 vers 10.144.124 utilisent eth0 et non eth1 (cas des paquets retour d\u2019une connexion d\u2019un serveur 10.144.124 vers l\u2019interface 10.144.51)<\/p>\n
ip route add default via 10.144.51.254 dev eth0 table vlan51\r\nip rule add from 10.144.51.0\/24 to 10.144.124.0\/22 table vlan51 priority 51<\/pre>\n3) Pour que les paquets de 10.144.124 vers 10.144.124 passent par l\u2019interface eth1 sans contacter la gateway<\/p>\n
ip route add dev eth1 table vlan124\r\nip rule add from 10.144.124.0\/22 to 10.144.124.0\/22 table vlan124 priority 124<\/pre>\n4) Pour que les paquets qui sortent de 10.144.124 passent par eth1 et la gateway (cas d\u2019une connexion d\u2019un poste hors vlan 124 vers le vlan 124) avec n\u00e9cessairement une priorit\u00e9 sup\u00e9rieure \u00e0 la r\u00e8gle pr\u00e9c\u00e9dente<\/p>\n
ip route add default via 10.144.127.254 dev eth1 table vlan124out\r\nip rule add from 10.144.124.0\/22 table vlan124out priority 125<\/pre>\n<\/pre>\n","protected":false},"excerpt":{"rendered":"Pour les serveurs qui poss\u00e8dent 2 cartes ethernet avec des adresses IP dans des VLAN diff\u00e9rents et sans configuration suppl\u00e9mentaire, les trames IP qui arrivent sur l\u2019interface eth1 ont les r\u00e9ponses qui partent sur eth0, qui est l\u2019interface qui dispose … Read More