在杭州机房里有一部分机器拥有双网卡,双IP,这种机器的网络需要特殊配置。
例如:客服工作台有一台机器有两块网卡,分别是 公网ip 223.5.20.36(eth0) 和 内网ip 192.168.220.41(eth1)。
需要注意的是,这台机器的网关是 192.168.0.1。这会导致一个问题,当一个外部请求访问它的公网地址 223.5.20.36 时,响应数据包会从内部网络接口 eth1 出去。请求端接受到的包的源 ip 就不再是 223.5.20.36 了,这种情况响应包通常会被直接丢弃,导致通信失败。
解决这个问题有两种方法:
1. 简单直接的方式:把网关设置为公网ip的网关, 如 223.5.20.1。
2. 但假如处于某些原因,不想更改网关。还有一种比较麻烦一些的方式:iptables的CONNMARK模块 + 策略路由。具体实现如下:
a.首先是给 所有 从公网接口eth0进来的包都打上一个标记(fwmark)。
iptables -A INPUT -i eth0 -d 223.5.20.36 -j CONNMARK --set-mark 1
注:实际上只需要对一次连接的第一个包打标记就行,即下面这样也行:
iptables -A INPUT -i eth0 -d 223.5.20.36 -m state --state NEW -j CONNMARK --set-mark 1
b.当响应数据包返回时,利用connmark的连接追踪功能给响应包也打上相同的标记。
iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
注:必需在 mangle 表执行 connmark 标记恢复。因为在mangle表之后会进行一次 reroute check 重新路由,这使得下一步得以发生。
c.配置策略路由,让打了标记(fwmark 1)的包全部走 eth0 接口。
echo 200 public >> /etc/iproute2/rt_tables
ip rule add table public
ip route add table public default via 223.5.20.1 dev eth0