策略路由双网代理上网

Trotk

系统为Debian Sarge

双网要比单网复杂的多。

首先安装Linux高级路由包，用里面的ip命令。
# apt-get install iproute

先创建两个表

修改/etc/iproute2/rt_tables如下

1. 
   
2. #
   
3. # reserved values
   
4. #
   
5. 255 local
   
6. 254 main
   
7. 253 default
   
8. 0   unspec
   
9. #
   
10. # local
    
11. #
    
12. 10  T1
    
13. 20  T2
    

复制代码

然后将附件里的cnc_1_net和ctc_1_net拷贝到/etc目录下，因为下面的脚本要用到。
cnc_1_net是网通的ip段
ctc_1_net是电信的ip段
都不是很全，谁有全的希望能贡献出来，不胜感激 ：）

我们要编辑个脚本。

1. 
   
2. 
   
3. #!/bin/sh
   
4. 
   
5. 
   
6. # IF1 是网通的网络接口
   
7. IF1="eth0"
   
8. 
   
9. # IF2 是内网的网络接口
   
10. IF2="eth2"
    
11. 
    
12. # IF0 是电信的网络接口
    
13. IF0="eth1"
    
14. 
    
15. # IP1 是网通的IP
    
16. IP1="221.8.60.54"
    
17. 
    
18. # IP2 是电信的IP
    
19. IP2="222.168.11.186"
    
20. 
    
21. # P1 是网通的网关
    
22. P1="221.8.60.53"
    
23. 
    
24. # P2 是电信的网关
    
25. P2="222.168.11.185"
    
26. 
    
27. 
    
28. # P1_NET 是网通的网段， 掩码30表示有分派了4个ip, 如果是8个ip就要写成29了。
    
29. P1_NET="221.8.60.52/30"
    
30. 
    
31. # P2_NET 为电信的网段
    
32. P2_NET="222.168.11.184/30"
    
33. 
    
34. # P0_NET 为内网网段
    
35. P0_NET="192.168.0.0/24"
    
36. 
    
37. 
    
38. # 设置基本的防火墙
    
39. 
    
40. echo "1" > /proc/sys/net/ipv4/ip_forward
    
41. echo 8000 > /proc/sys/net/ipv4/ip_conntrack_max
    
42. 
    
43. modprobe iptable_filter
    
44. modprobe ip_tables
    
45. modprobe iptable_nat
    
46. modprobe ip_conntrack
    
47. modprobe ip_nat_ftp
    
48. modprobe ip_conntrack_ftp
    
49. modprobe ip_nat_irc
    
50. modprobe ip_conntrack_irc
    
51. modprobe ipt_MASQUERADE
    
52. 
    
53. modprobe ipt_REJECT
    
54. modprobe ipt_limit
    
55. 
    
56. 
    
57. iptables -F
    
58. iptables -t nat -F
    
59. iptables -P INPUT DROP
    
60. iptables -P FORWARD ACCEPT
    
61. iptables -P OUTPUT ACCEPT
    
62. 
    
63. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
64. iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
    
65. iptables -A INPUT -i lo -j ACCEPT
    
66. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    
67. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    
68. iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j MASQUERADE
    
69. iptables -t nat -A POSTROUTING -s $P0_NET -o $IF2 -j MASQUERADE
    
70. 
    
71. # 设置策略路由
    
72. 
    
73. ip route flush table T1
    
74. ip route flush table T2
    
75. 
    
76. ip rule list | grep T | while read line; do
    
77.     POS4=`echo $line | awk '{print $4}'`
    
78.     if [ "$POS4" = "to" ]
    
79.     then
    
80.         DST=`echo $line | awk '{print $5}'`
    
81.         RT=`echo $line | awk '{print $7}'`
    
82.         ip rule del to $DST table $RT
    
83.     fi
    
84.     if [ "$POS4" = "lookup" ]
    
85.     then
    
86.         SRC=`echo $line | awk '{print $3}'`
    
87.         RT=`echo $line | awk '{print $5}'`
    
88.         ip rule del from $SRC table $RT
    
89.     fi
    
90. done
    
91. 
    
92. if [ ! -z $IP1 ]
    
93. then
    
94.     ip route replace $P1_NET dev $IF1 src $IP1
    
95. 
    
96.     ip route add $P1_NET dev $IF1 src $IP1 table T1
    
97.     ip route add $P0_NET dev $IF0 table T1
    
98.     ip route add 127.0.0.0/8 dev lo table T1
    
99. 
    
100.     ip route add $P1_NET dev $IF1 table T2
     
101. 
     
102.     ip route replace default via $P1 dev $IF1 table T1
     
103. 
     
104.     ip rule add from $IP1 table T1
     
105. 
     
106.     WAN_RT1="nexthop via $P1 dev $IF1 weight 1"
     
107. fi
     
108. if [ ! -z $IP2 ]
     
109. then
     
110.     ip route replace $P2_NET dev $IF2 src $IP2
     
111. 
     
112.     ip route add $P2_NET dev $IF2 src $IP2 table T2
     
113.     ip route add $P0_NET dev $IF0 table T2
     
114.     ip route add 127.0.0.0/8 dev lo table T2
     
115. 
     
116.     ip route add $P2_NET dev $IF2 table T1
     
117. 
     
118.     ip route replace default via $P2 dev $IF2 table T2
     
119. 
     
120.     ip rule add from $IP2 table T2
     
121. 
     
122.     WAN_RT2="nexthop via $P2 dev $IF2 weight 1"
     
123. fi
     
124. 
     
125. WAN_RT3="$WAN_RT1 $WAN_RT2"
     
126. 
     
127. # 把网通作为默认网关
     
128. ip route replace default scope global $WAN_RT1
     
129. 
     
130. # 用两个网关做负载均衡
     
131. #ip route replace default equalize scope global $WAN_RT3
     
132. 
     
133. ip route flush cache
     
134. 
     
135. if [ -s /etc/ctc_1_net ]
     
136. then
     
137.     while read LINE
     
138.     do
     
139.         case $LINE in
     
140.         \#*) ;;
     
141.         *)
     
142.             ip rule add to $LINE table T2
     
143.             ;;
     
144.         esac
     
145.     done < /etc/ctc_1_net
     
146. fi
     
147. 
     
148. if [ -s /etc/cnc_1_net ]
     
149. then
     
150.     while read LINE
     
151.     do
     
152.         case $LINE in
     
153.         \#*) ;;
     
154.         *)
     
155.             ip rule add to $LINE table T1
     
156.             ;;
     
157.         esac
     
158.     done < /etc/cnc_1_net
     
159. fi
     
160. 
     
161. ip route flush cache
     
162. 
     

复制代码

这个脚本是在实际的双网代理服务器上抽出来的。

memory

不错，占个板凳学习学习。
其实比较关键的问题是如何能收集到大部分网通与电信的路由信息（也就是网段）。

gfrog

赞个~ 向trotk同学学习

黑鹰

好东西，希望写的更详细一点！

Trotk

1. 
   
2.              +------------+
   
3.              | 进入的IP包 |
   
4.              +------------+
   
5.                    |
   
6.                    |
   
7.                    V
   
8.              +--------------+
   
9.              | 决定包该走   |    - - - - - - - - - ->$ ip rule list
   
10.              | 哪个表       |                          0:      from all lookup local
    
11.              +--------------+                          32388:  from all to 219.235.127.0/24 lookup T1
    
12.                     |                                  32389:  from all to 219.156.123.0/24 lookup T1
    
13.                     |                                  ..............
    
14.                     |
    
15.         +-----------------------+                      32388:  from all to 219.235.127.0/24 lookup T1
    
16.         |                       |                      32389是规则的序号， 越高就越先执行
    
17.         V                       V                      规则就很简单了， 目的地是219.235.127.0/24的所有ip包，查看T1表
    
18.   +--------------+       +--------------+
    
19.   | 网通路由表 T1|       | 电信路由表 T2|   - - - - ->$ ip route list table T1
    
20.   +--------------+       +--------------+               222.168.11.184/30 dev eth2  scope link
    
21.         |                       |                       221.8.60.52/30 dev eth0  scope link  src 221.8.60.54
    
22.         V                       V                       192.168.0.0/24 dev eth1  scope link
    
23.         -------------------------                       127.0.0.0/8 dev lo  scope link
    
24.                    |                                    default via 221.8.60.53 dev eth0
    
25.                    |
    
26.                    |                                    222.168.11.184/30 dev eth2  scope link
    
27.                    |                                    所有是电信的走eth2, 因为222.168.11.184/30是我们申请的
    
28.                    |                                    电信ip段，所以一定没错， 以防ctc_1_net不全。
    
29.                    V                                    221.8.60.52/30 dev eth0  scope link  src 221.8.60.54
    
30.             +---------------+                           就是对网通说的了
    
31.             | iptables 的   |                           192.168.0.0/24 dev eth1  scope link 是内网
    
32.             | POSTROUTING 链|
    
33.             | 修改源地址    |                           127.0.0.0/8 dev lo  scope link 本机
    
34.             +---------------+
    
35.                    |                                    default via 221.8.60.53 dev eth0 默认走网通路由
    
36.                    |                                    这句才是最关键的 ：）
    
37.                    |
    
38.                    |
    
39.                    |
    
40.                    V
    
41.        +-------------------------+
    
42.        |                         |
    
43.        V                         V
    
44.    网通的NIC                 电信的NIC
    

复制代码

参考资料:
http://lartc.org/

NetDC

建议加精！！！

radix

非常不错

gopher

Post by memory
不错，占个板凳学习学习。
其实比较关键的问题是如何能收集到大部分网通与电信的路由信息（也就是网段）。

ftp://ftp.apnic.net/public/whois ... apnic.db.inetnum.gz

zhangweizj

好，学习学习，谢谢

hsj840119

谢谢分享 ！