iptables を使用した TCP 応答からのソース IP の書き換え

Question

DSR方式

最も効果的な方法は、NetScalerで直接サーバーリターンモードを適切に設定することです。ここで、NetScalerはターゲットVIPアドレス（10.10.0.15）を変更せずにsyslogサーバーへのMACベースの配信を実行します。

NetScalerから転送されたパケットを受信するには、syslogサーバーにもこのVIPアドレスが必要です。このアドレスは、loなどのすべての内部インターフェイスに割り当てることができますdummy0。

ip addr add 10.10.0.15/32 dev lo

eth0そしてこれを防ぐために、着信インターフェイスにいくつかのsysctlsを設定する必要があります（ここで想定しています）。VIP ARPの問題（望むより6.7.治療：2.6.xカーネル - arp_ignore/arp_announce）。以下を追加し/etc/sysctl.confて実行しますsysctl -p。

net.ipv4.conf.eth0.arp_ignore = 1
net.ipv4.conf.eth0.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2

arp_ignore/on設定はarp_announce何も役に立ちませんlo。

DNAT法

NetScalerが着信トラフィックに対してDNATを実行している場合、syslogサーバーはリターントラフィックもNetScalerに転送して接続追跡リソースを取得できます。これはアドレス変換を実行する最も自然な方法です。

この場合、syslogサーバーのポリシールーティングを利用できます。この機能により、「ポート 514 から発信される TCP パケット」などの特定の条件下で、パケットに特別なルーティングテーブルを適用できます。

以下のように、Linuxアドバンストルーティングに関するHOWTOドキュメントがあります。私はあなたが次の指示を理解するために次のミニハウト（mini-HOWTO）を読むことをお勧めします。

VIPまず、ランダムIDで指定された特別なルーティングテーブルを定義します/etc/iproute2/rt_tables。

1 VIP

VIPこのテーブルにVIP（10.10.0.15）へのデフォルトパスを追加します。

ip route add default via 10.10.0.15 table VIP

ポート514から送信されたTCPパケットをmangle表示するには、iptablesテーブルにエントリを追加します。1

iptables -t mangle -A OUTPUT -p tcp --sport 514 -j MARK --set-mark 1

VIPマーク付きのパケットのルーティングテーブルを見つけるためのルールを追加します1。

ip rule add from all fwmark 1 table VIP

これまでに定義されたルールを表示できますip rule list。ルールは優先順位の値の昇順で処理されます（0が最も高い優先順位）。

# ip rule list
0:  from all lookup local 
32765:  from all fwmark 0x1 lookup VIP 
32766:  from all lookup main 
32767:  from all lookup default

次のように、各ルーティングテーブルの内容を確認できます。

# ip route ls table local
# ip route ls table VIP
# ip route ls table main

Answer 1

DSR方式

最も効果的な方法は、NetScalerで直接サーバーリターンモードを適切に設定することです。ここで、NetScalerはターゲットVIPアドレス（10.10.0.15）を変更せずにsyslogサーバーへのMACベースの配信を実行します。

NetScalerから転送されたパケットを受信するには、syslogサーバーにもこのVIPアドレスが必要です。このアドレスは、loなどのすべての内部インターフェイスに割り当てることができますdummy0。

ip addr add 10.10.0.15/32 dev lo

eth0そしてこれを防ぐために、着信インターフェイスにいくつかのsysctlsを設定する必要があります（ここで想定しています）。VIP ARPの問題（望むより6.7.治療：2.6.xカーネル - arp_ignore/arp_announce）。以下を追加し/etc/sysctl.confて実行しますsysctl -p。

net.ipv4.conf.eth0.arp_ignore = 1
net.ipv4.conf.eth0.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2

arp_ignore/on設定はarp_announce何も役に立ちませんlo。

DNAT法

NetScalerが着信トラフィックに対してDNATを実行している場合、syslogサーバーはリターントラフィックもNetScalerに転送して接続追跡リソースを取得できます。これはアドレス変換を実行する最も自然な方法です。

この場合、syslogサーバーのポリシールーティングを利用できます。この機能により、「ポート 514 から発信される TCP パケット」などの特定の条件下で、パケットに特別なルーティングテーブルを適用できます。

以下のように、Linuxアドバンストルーティングに関するHOWTOドキュメントがあります。私はあなたが次の指示を理解するために次のミニハウト（mini-HOWTO）を読むことをお勧めします。

VIPまず、ランダムIDで指定された特別なルーティングテーブルを定義します/etc/iproute2/rt_tables。

1 VIP

VIPこのテーブルにVIP（10.10.0.15）へのデフォルトパスを追加します。

ip route add default via 10.10.0.15 table VIP

ポート514から送信されたTCPパケットをmangle表示するには、iptablesテーブルにエントリを追加します。1

iptables -t mangle -A OUTPUT -p tcp --sport 514 -j MARK --set-mark 1

VIPマーク付きのパケットのルーティングテーブルを見つけるためのルールを追加します1。

ip rule add from all fwmark 1 table VIP

これまでに定義されたルールを表示できますip rule list。ルールは優先順位の値の昇順で処理されます（0が最も高い優先順位）。

# ip rule list
0:  from all lookup local 
32765:  from all fwmark 0x1 lookup VIP 
32766:  from all lookup main 
32767:  from all lookup default

次のように、各ルーティングテーブルの内容を確認できます。

# ip route ls table local
# ip route ls table VIP
# ip route ls table main

iptables を使用した TCP 応答からのソース IP の書き換え

ベストアンサー1

DSR方式

DNAT法

おすすめ記事