iptables - 2개의 인터넷 제공업체 - 라우팅

tag-icon tag-icon ssh iptables routing firewall nat
iptables - 2개의 인터넷 제공업체 - 라우팅

fritz-n 및 fritz-t 아래에 2개의 라우터(Fritzbox)를 통해 수신된 2개의 인터넷 연결이 있습니다.

각 fritzbox에는 다른 서비스 제공업체의 자체 인터넷 연결이 있습니다. 두 라우터 모두 인터넷에 연결하고 모든 트래픽을 내 서버의 다른 인터페이스로 보냅니다(itf prox2).

fritz-n (192.168.36.254) ---> eth1에서 192.168.36.253
fritz-t (192.168.26.254) ---> eth2에서 192.168.26.253

우리는 장애 조치와 룸메이트를 위해 주로 fritz-n, fritz-t의 인터넷 연결을 사용합니다.

저는 2개의 하위 도메인(office-t.abc.xyz 및 office-n.abc.xyz)을 설정했는데, 각 도메인에는 라우터에 대한 A 레코드가 설정되어 있습니다.

내 문제는 office-n.abc.xyz -p 22에 대한 SSH 연결을 열면 제대로 작동하지만 office-t.abc.xyz -p 22에 대한 SSH 연결을 열면 연결할 수 없다는 것입니다. 모든 라우터는 호스트를 노출하도록 구성되어 있으므로 연결을 전혀 필터링하지 않습니다.

내가 뭘 잘못하고 있는지 아는 사람 있나요?

자동 실행1
iface eth1 inet 정적
        주소 192.168.36.253
        넷마스크 255.255.255.0
        up /sbin/route 기본 gw 192.168.36.254 메트릭 0 eth1 추가
        down /sbin/route del 기본 gw 192.168.36.254 표시기 0 eth1

자동2
iface eth2 inet 정적
        주소 192.168.26.253
        넷마스크 255.255.255.0
        up /sbin/route 기본 게이트웨이 추가 192.168.26.254 표시기 1 eth2
        down /sbin/route del 기본 gw 192.168.26.254 표시기 1 eth2

IP테이블:

 
# 2017년 9월 28일 목요일 07:08:40에 iptables-save v1.4.21에 의해 생성됨
*손상
: 사전 라우팅 허용 [270255645:213936245583]
: 입력 허용됨 [31520001:38963026250]
: 전달수락 [238659546:174959469047]
: 출력 허용됨 [17349995:1535871362]
: 우편 경로 허용 [255986358:176485117432]
범죄
# 2017년 9월 28일 (목) 07:08:40 완료
# 2017년 9월 28일 목요일 07:08:40에 iptables-save v1.4.21에 의해 생성됨
*필터
: 입력이 허용됩니다. [31516323:38962721398]
: 전달수락 [238471146:174935725039]
: 출력 허용됨 [17322993:1524849152]
# 2017년 9월 28일 (목) 07:08:40 완료
# 2017년 9월 28일 목요일 07:08:40에 iptables-save v1.4.21에 의해 생성됨
*낫
:사전 라우팅 허용[1148316:120418773]
: 입력 승인됨 [538183:39312329]
: 출력 승인됨 [179594:13556948]
: 우편 경로 허용 [448655:42796545]
- 사전 경로 지정! -i vmbr0 -p tcp -m tcp --dport 1195 -j DNAT --대상 192.168.16.15:1195
- 사전 경로 지정! -i vmbr0 -p udp -m udp --dport 1195 -j DNAT --대상 192.168.16.15:1195
- 사전 경로 지정! -i vmbr0 -p tcp -m tcp --dport 8080 -j DNAT --대상 192.168.16.5:8080
- 사전 경로 지정! -i vmbr0 -p tcp -m tcp --dport 10222 -j DNAT --대상 192.168.16.85:22
- 사전 경로 지정! -i vmbr0 -p tcp -m tcp --dport 22 -j DNAT --대상 192.168.16.3:22
-A 포스트 라우팅 -o eth1 -j 위장
-A 포스트 라우팅 -o eth2 -j 위장
범죄
# 2017년 9월 28일 (목) 07:08:40 완료

답변1

eth2를 통해 연결할 때 나가는 패킷이 eth1을 통해 라우팅되지 않습니까? 그런 다음 그들은 자신을 변장하고 다른 주소에서 SSH 클라이언트로 접근하여 연결을 설정할 수 없게 됩니다.

tcpdump를 실행하거나 iptables 규칙에 로깅 항목을 추가하면 어떤 패킷이 어디로 가는지 확인하는 데 도움이 될 수 있습니다.

관련 정보