iptables - 2つのインターネットプロバイダ - ルーティング

tag-icon tag-icon ssh iptables routing firewall nat
iptables - 2つのインターネットプロバイダ - ルーティング

fritz-nとfritz-tの下に2つのルーター(Fritzbox)を介して受信した2つのインターネット接続があります。

各fritzboxには、他のサービスプロバイダからの独自のインターネット接続があります。両方のルーターはインターネットに接続し、すべてのトラフィックをサーバーの別のインターフェースに送信します(itf prox2)。

fritz-n (192.168.36.254) ---> eth1から192.168.36.253
fritz-t (192.168.26.254) ---> eth2から192.168.26.253

我々は、フェールオーバーとルームメイトのために主にfritz-n、fritz-tのインターネット接続を使用しています。

私は2つのサブドメイン(office-t.abc.xyzとoffice-n.abc.xyz)を設定しましたが、各ドメインにはルーターのAレコードが設定されています。

私の問題は、office-n.abc.xyz -p 22へのSSH接続を開くと正常に動作しますが、office-t.abc.xyz -p 22へのSSH接続を開くと接続できないことです。すべてのルータはホストを公開するように設定されているため、接続をまったくフィルタリングしません。

私が間違っていることを知っている人はいますか?

自動実行1
iface eth1 inet 静的
        住所 192.168.36.253
        ネットマスク 255.255.255.0
        up /sbin/route デフォルト gw 1​​92.168.36.254 メトリック 0 eth1 追加
        down /sbin/route del デフォルト gw 1​​92.168.36.254 インジケータ 0 eth1

自動2
iface eth2 inet 静的
        住所 192.168.26.253
        ネットマスク 255.255.255.0
        up /sbin/route デフォルトゲートウェイの追加 192.168.26.254 インジケータ 1 eth2
        down /sbin/route del デフォルト gw 1​​92.168.26.254 インジケータ 1 eth2

IPテーブル:

 
#2017年9月28日木曜日07:08:40でiptables-save v1.4.21によって作成されました
*損傷
:事前ルーティングを許可 [270255645:213936245583]
: 入力許可 [31520001:38963026250]
:伝達受諾 [238659546:174959469047]
:出力許可 [17349995:1535871362]
:郵便経路許可 [255986358:176485117432]
犯罪
#2017年9月28日(木)07:08:40完了
#2017年9月28日木曜日07:08:40でiptables-save v1.4.21によって作成されました
*フィルター
:入力が許可されます。 [31516323:38962721398]
:伝達受諾 [238471146:174935725039]
: 出力許可 [17322993:1524849152]
#2017年9月28日(木)07:08:40完了
#2017年9月28日木曜日07:08:40でiptables-save v1.4.21によって作成されました
*鎌
:事前ルーティングを許可[1148316:120418773]
:入力承認済み [538183:39312329]
:出力承認済み [179594:13556948]
:郵便経路を許可する [448655:42796545]
- 事前パス指定! -i vmbr0 -p tcp -m tcp --dport 1195 -j DNAT --ターゲット 192.168.16.15:1195
- 事前パス指定! -i vmbr0 -p udp -m udp --dport 1195 -j DNAT --ターゲット 192.168.16.15:1195
- 事前パス指定! -i vmbr0 -p tcp -m tcp --dport 8080 -j DNAT --ターゲット 192.168.16.5:8080
- 事前パス指定! -i vmbr0 -p tcp -m tcp --dport 10222 -j DNAT --ターゲット 192.168.16.85:22
- 事前パス指定! -i vmbr0 -p tcp -m tcp --dport 22 -j DNAT --ターゲット 192.168.16.3:22
-A ポストルーティング -o eth1 -j 迷彩
-A ポストルーティング -o eth2 -j 迷彩
犯罪
#2017年9月28日(木)07:08:40完了

ベストアンサー1

eth2を介して接続するとき、発信パケットはeth1を介してルーティングされませんか?その後、彼らは自分自身を変装し、別のアドレスからSSHクライアントにアクセスして接続を確立できなくなります。

tcpdump を実行するか、iptables ルールにロギングエントリを追加すると、どのパケットがどこに行くかを確認するのに役立ちます。

おすすめ記事