3

Я хочу найти правильную комбинацию команд iptables для решения следующих задач:

  • NE являются NAT через ящик linux (используя iptables) к облаку WAN, где расположены NTP-серверы.
  • Для достижения избыточности серверы NTP находятся в кластере балансировки нагрузки с одним виртуальным IP-адресом (172.30.4.245)
  • Проблема состоит в том, что, когда NE запрашивают обновления NTP с использованием 172.30.4.245, ответ NTP принимается с одного из фактических IP-адресов (.200, .230 .240).

Пример:

Iptables не разрешает этот поток, что является нормальным, поскольку запрошенный и отвечающий адреса не совпадают (172.30.4.245 против 172.30.4.230):

Запрос: UDP 10.68.2.11:23445 ---> 172.30.4.245:123 (это перед NAT, конечно, после NAT источник 10.23.14.72) Ответ: UDP 172.30.4.230:123 ---> 10.23.14.72: 23445 (Ответ на адрес WAN)

Мне интересно, есть ли способ позволить iptables устанавливать поток UDP только на основе (s-port/d-port) независимо от IP-адресов и выполнять NAT обратно в LAN на основе этого.

UDP/NTP является лишь примером, почти все необходимые службы настраиваются одинаково (балансировка нагрузки в кластере).

1 ответ1

0

Может быть, вы должны посмотреть на свой балансировщик нагрузки. Замена тупого NAT на что-то более сложное, например, IPVS, должно сработать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .