Birden fazla İnternet bağlantısı nasıl birleştirilir?

23

Bilgisayarımda toplam 4 NIC, 2 kablolu Gigabit Ethernet ağ kartı ve 2 kablosuz ağ kartı var. (Özel sürücülere sahip bir Broadcom ve Broadcom'dan çok daha iyi çalışan açık kaynaklı yazılımlarla Ralink.)

Cep telefonum bağlantısını kablosuz olarak bilgisayarımla paylaşabilir, ancak aynı zamanda kablolu bir İnternet bağlantım var. Bu yüzden internete erişmek için birden fazla İnternet bağlantım var . 2 veya daha fazla bağlantıyı nasıl birleştirebilirim ve birleşik bir Internet deneyiminin tadını çıkarmaları için, ona bağlı tüm Internet bağlantılarının toplamı olduğunu nasıl dengeleyebilirim .

Örneğin, 1024kB / s Internet bağlantısına sahip bir modeme ve 512kB / s sunan bir diğerine ve 128kB / s sunan küçük bir ağ bağlantısına sahipsem, yük dengelemesinden ve birleştirmeden sonra (Bonding veya Teaming) indirebilirim. örneğin, 3 İnternet bağlantısının tümünü kullanan 1664kB / s.

Bu soru beni her zaman merak etti.

networking  internet 
Luis Alvarado
kaynak
5
Ask Ubuntu'nun kapsamı dışında görünüyor :) Bu oldukça karmaşık bir ağ oluşturma aracı. IMO, bağlantının kopması (geçici olarak bile olsa), bazı linklerin diğerlerinden daha yavaş olması nedeniyle paketleri yeniden sıralamasından dolayı yeniden paketlenen paketleri dikkate aldığınızda nadiren buna değer. Bunu yapacak bir "kara kutu" çözümü bilmiyorum, ilginç bir proje olabilir.
Sezyum
9
Peki, bu soru ubuntuda yapılıp yapılmadığı ve nasıl yapılacağı ile ilgilidir.
Luis Alvarado,
Bir oluşturulan cevabı içinde tek bir PC üzerinde 2 internet bağlantıları yazı. Ubuntu'da sınırlama için belgeleri bağlama.
Lucio
@ Lucio Soruyu çift olarak işaretleyebilir veya cevabınızı buraya taşıyabilir ve kabul edildi olarak işaretleyebilirim. Ayrıca, Ağ Yöneticisi'nde bağ seçeneklerini içereceğinden, 13.04'te çıkınca hazır olmanız gerekir (Şu anda yalnızca kablolu bağlantı bağımlıları).
Luis Alvarado,

Yanıtlar:

11

İşyerinde Ubuntu 11.04 kullanarak böyle bir şey yapıyorum. İşinde mükemmel olmasının yanı sıra, ihtiyaçlarınızı karşılayabilecek temel birkaç ISS yönlendirme aracı da sağlayan Shorewall güvenlik duvarı yapılandırma aracını kullanıyoruz. Bununla ilgili bazı dokümanları burada bulabilirsiniz: http://www.shorewall.net/MultiISP.html

Her şeye rağmen, tek bir bağlantı için birden fazla ISS kullanamazsınız ... işler o kadar basit değil. Yapabileceğiniz en iyi, farklı sağlayıcılar arasında eşit olarak yeni bağlantılar kurmaya çalışmaktır.

Bu karmaşık bir sorundur. Muhtemelen her problemi ayıklamadan önce başınızı duvara dayayarak (kesinlikle yaptım) yenersiniz. Bu nedenle, diğer afişlerin önerdiği gibi, arzunuzun ne kadar güçlü olduğunu dikkatlice düşünmek akıllıca olabilir.

trognanders
kaynak
Güzel bağlantı. Öğretici çok güzel.
Luis Alvarado,
Şunu da görelim: debuntu.org/2006/02/23/…
Postadelmaga
8

ifenslaveBağımlı ağ arayüzlerini bir bağlama cihazına bağlayan ve ayıran paketi kullanarak bunu yapabilirsiniz .

  1. yükleyin:

    sudo apt-get install ifenslave

  2. Yük bağlama çekirdeği modülü

    sudo modprobe bondingle

  3. Arabirimlerinizi yapılandırın:

    sudo vi /etc/network/interfaces

    Örnek yapılandırma, eth0 ve eth1'i bağ arayüzünüze köle olarak birleştirmek için:

    #eth0 is manually configured, and slave to the "bond0" bonded NIC
auto eth0
iface eth0 inet manual
bond-master bond0

#eth1 ditto, thus creating a 2-link bond.
auto eth1
iface eth1 inet manual
bond-master bond0

# bond0 is the bonded NIC and can be used like any other normal NIC.
# bond0 is configured using static network information.
auto bond0
iface bond0 inet static
address 192.168.1.10
gateway 192.168.1.1
netmask 255.255.255.0
# bond0 uses standard IEEE 802.3ad LACP bonding protocol 
bond-mode 802.3ad
bond-miimon 100
bond-lacp-rate 1
bond-slaves none

  4. Ağı Yeniden Başlat:

    sudo restart networking

  5. Sınırlı arayüzü yukarı / aşağı getirme:

    ifup bond0
ifdown bond0

    Kullandığımız bir örnek olarak birkaç bağ modu vardır:

    bond-mode active-backup

    Aktif yedekleme bağlama modunun açıklaması :

    Aktif yedekleme politikası: Bağdaki sadece bir köle aktif. Farklı bir köle, eğer aktif köle başarısız olursa, ancak aktif hale gelir. Bağlantının MAC adresi, anahtarın karışmasını önlemek için yalnızca bir bağlantı noktasında (ağ bağdaştırıcısı) dıştan görülebilir. Bu mod hataya dayanıklılık sağlar. Birincil seçenek bu modun davranışını etkiler.

    • Tüm yapıştırma modlarının tanımı .

    Kaynak ve Ubuntu topluluğundaki daha fazla bilgi yardım wiki .

Bağlama , çeşitli ağ arayüzlerini (NIC'ler) tek bir bağlantıda birleştirmek, yüksek kullanılabilirlik, yük dengeleme, maksimum verim veya bunların bir kombinasyonunu sağlamak anlamına gelir. Kaynak

pl1nk
kaynak
+1 çünkü sorumun nedenlerinden biri. Tüm köle (gerçek) bağlantıların toplamı olan sanal bir ağ ana bağlantısı oluşturmanın bir yolunu bekleyecektir. En son çekirdek sürümünde gelen bir bağ gibi bir şey.
Luis Alvarado
2
-1 - LAN'larda Katman 2'de çalıştığı gibi bağlanma söz konusudur. Soru, iki bağımsız WAN'ın yük dengelemesiyle ilgilidir .
gertvdijk
@gertvdijk Yapıştırmanın da balans yükü yükleyeceğini öğrenmek için güncelleme yanıtımı kontrol etmiyoruz.
pl1nk
1
@ pl1nk Bu, aynı L2 ağındaki iki NIC için Katman 2 yük dengelemedir. Bu, çoklu ISS yük dengeleme ile aynı değildir!
gertvdijk
3
@ pl1nk Son yorumum. Soru açıkça, çoklu bağımsız genişbant bağlantılarıyla ilgilidir. Bir ISS olabilirlerse de, bu, katman 2'de
bununla
6

Bu biraz eski bir soru, ama hala bilmek istiyorsan ..

Cevaplardan birinde gertvdijk ve pl1nk'ün tartıştığı iki tipik senaryo vardır:

2 genel IP'ye (2 farklı ISS) sahip bir bilgisayarınız varsa ve başka bir ana bilgisayara (örneğin, bilgisayarınızın her iki ISP bağlantısının toplam bant genişliğinden daha büyük olan bir şişman borulu veri merkezindeki bir sunucuya) bağlanın. Böylece, 2 bağlantınız aracılığıyla ana bilgisayara bir bağlanma bağlantısı kurarsınız ve ardından ana bilgisayar (sunucu) trafiğinize kendi internet bağlantısı üzerinden hizmet eder. Bu senaryoda, tek bir bağlantı için her iki yönde birleştirilmiş bant genişliğinin neredeyse% 100'ünü alabilirsiniz.

Bu, çoklu katman 2 (aynı ağ) arayüzlerinin bir araya getirildiği özel bir bağlama / takım / ling toplama durumudur. Bilgisayardan ana bilgisayara her ISS arabiriminde VPN katman 2 (dokunma) bağlantıları kurularak ve tek bir arabirime sahip olmak için bunları birbirine bağlayarak (yuvarlak-uç modu) gerçekleştirilebilir. Bu senaryoda sınırlayıcı faktör, ana bilgisayara yapılan her ISS bağlantısındaki gecikmelerin (ping) ne kadar farklı olduğudur. Ne kadar benzer ve kararlılarsa o kadar iyidir. Tesislerimizden birinde kullanıyoruz, iyi çalışıyor. Nasıl uygulanacağı ile ilgili ayrıntıları bilmek istiyorsanız, sadece bana bildirin.

O zaman başka bir senaryo , bir ara ana bilgisayar olmadan, yani ISS'nizin arabirimlerinden dünyadaki çeşitli web sunucularına doğrudan bağlantı olabilir. Bu durumda elde edebileceğiniz en iyi şey, arayüzler arasında giden bağlantıları eşit bir şekilde dağıtmaktır - yani bir TCP oturumu tamamen bir ISS üzerinden, ikinci bir oturum vb. Bir TCP bağlantısı kurduğunuzda, her paket için orijin ve hedef IP adreslerine sahip olduğundan ve bir sunucu bir TCP el sıkışmasının gerçekleştirilmediği başka bir IP'den bir paket aldığında, paketi hatalı olarak kabul eder ve bırakır. Her ISS bağlantısının kendi genel IP'si olduğundan, aynı TCP oturumu için bir paketi bir IP üzerinden diğerine başka bir IP üzerinden başka bir bağlantı üzerinden gönderemezsiniz.

İlk senaryoda olduğu gibi tek bir bilgisayar için toplam bant genişliği kullanımı elde edemezsiniz, ancak küçük bir ofis için iyi bir çözüm olabilir. Bunu biraz uzatmak için yapabileceğiniz şey, belirli protokoller için özel çözümler uygulamaktır. Örneğin, http indirme için ağ geçidinde (aynı bilgisayar olabilir) bir tür proxy olabilir ve farklı ISP arayüzleri aracılığıyla farklı TCP oturumları kuran devasa bir dosyanın farklı kısımlarını isteyebilirsiniz. Bu durumda, ortaya çıkan indirme hızı, birleştirilmiş bant genişliğinin% 100'üne yakın olacaktır. ReGet, GetRight ve benzeri indiricilerin yaptıkları ağ geçidine boşaltma gibidir. Google 'HTTP 206 Kısmi İçerik'. Bu senaryo için kullanıma hazır hiçbir açık kaynaklı çözüm bilmiyorum, ancak tam olarak bunu yapan donanım araçları var: google '

Anatoli
kaynak
Vaov! Cevabınızın ilk kısmı tam olarak aradığım şey. Bulutta Ubuntu'lu bir sunucum ve çok hızlı bir bağlantım var. Ve burada sahip olabileceğim tek internet bağlantısı sınırlı 3G ile 300kbps. Cevabınızın ilk bölümünü nasıl elde edeceğiniz hakkında daha fazla bilgi verebilir misiniz, böylece bağlantımın hızını arttırmak için birçok 3G cihazı ve planı satın alabilirim?
Huafu
2
echo "bonding" >> /etc/modules echo -e "alias bond* bonding\noptions bonding max_bonds=10 mode=2 xmit_hash_policy=layer3+4 arp_interval=100 arp_ip_target=10.0.0.1" > /etc/modprobe.d/bonding.conf
Anatoli
1
Ve tüm tapa iştiraklerinin bu tahvil için köleleştirilmesi: echo "+tapX " >> /sys/class/net/bond0/bonding/slaves Durumunu şu şekilde kontrol edin: cat /proc/net/bonding/bond0Bu aşamada, tüm internet trafiği, veri merkezindeki sunucuya bond0 üzerinden akmalıdır. Orada yönlendirmeyi ayarlamanız gerekir: echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf sysctl -p /etc/sysctl.conf iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0'ın internet iface olması gerekiyordu)
Anatoli
1
Bu bond konfigürasyonu (mode = 2 xmit_hash_policy = layer3 + 4) her yeni bağlantının hash (bağlantıda yer alan IP'lerden ve portlardan hesaplanan) mod iface numarasına göre farklı temel VPN iface'lerinden geçmesini sağlayacaktır. Daha fazla bilgi: kernel.org/doc/Documentation/networking/bonding.txt . Bu aslında benim cevabımdaki ikinci çözüme benziyor, çünkü doğru şekilde çalışması için yuvarlak-robin bağlanması için çok benzer (çok düşük bir titreşim ve aynı bant genişliği) altta yatan bağlantılara ihtiyacınız var (aksi halde çok fazla paket yeniden alıyorsunuz) ve bağlantıların 3G.
Anatoli
1
@Huafu, ilk çözüme ulaşmak için, sadece mode=2 xmit_hash_policy=layer3+4y belirtmek yerine yapıştırma seçeneklerini değiştirmeniz gerekir mode=0(bkz. Link @ kernel.org), ancak önce 3G ile olan bağlantıların ne kadar benzer olduğunu kontrol edin. Eğer ping süreleri 2-3ms'den daha fazla değişiyorsa ya da jitter 1ms'den daha fazla ise, toplanmış bağlantının hızını etkin bir şekilde azaltan çok sayıda paket yeniden düzenlenir. Toplu bağlantı istatistiklerini netstat -s(yeniden iletimleri ara) ve iperf -s/ ile kontrol etmeniz gerekir iperf -c <server_ip> -d. 1. Her bağlantının performansını kontrol edin, sonra bir çözüme devam edebiliriz
Anatoli
0

Ben de benzer bir problemle karşılaştım .. ve ilk senaryoya göre çözüme olan yaklaşıma bay tarafından çok ilgilendim. GTH ve Anatoli, sizden, ilk senaryoda açıklanan yapılandırmayı test etmek için mümkünse, temel yapılandırmaları ve komut dosyalarını düzenlemenizi rica ediyorum.

Şimdi, VPN bağlantılarını farklı ISS sağlayıcıları aracılığıyla, bu yardımcı programla birleştirilen tun / tap arayüzlerini (bu, # 8 nolu cevapta anlatıldığı gibi değil) kullanarak yapılandırdım:

Lincoln - Stein’in Net-ISP Dengesi

Gelişmiş bant genişliği ve güvenilirlik için İnternet bağlantınızı iki veya daha fazla ISS'de dengeleyin

Proje evi: https://lstein.github.io/Net-ISP-Balance/

Bu paket, iki veya daha fazla ISS'ye bir ev veya küçük işletme Internet bağlantısını dengelemenizi sağlar. LAN'ınızın tamamını dengelemek için iki ISS'ye bağlı tek bir ana bilgisayarla veya bir yönlendirici / güvenlik duvarı makinesinde kullanabilirsiniz. Ağ trafiği, yükleme ve indirme kapasitesini artırmak için her iki ISS bağlantısında dengelidir ve bir ISS başarısız olursa, diğer ISS (ler) otomatik olarak devralacak.

Bant genişliği bağlantı başına bir seviyede dağıtılır. Bu, belirli bir indirme veya hız ölçütünde toplanmış bant genişliğini görmeyeceğiniz anlamına gelir, ancak aynı anda birden fazla veri aktarımının eşzamanlı olarak gerçekleştiği, örneğin evinizdeki bazı kişilerin film akışı yaptığı durumlarda faydaları göreceksiniz. Ayrıca, BitTorrent gibi çoklu bağlantı dosya aktarım protokolleri yük dengelemenin faydalarını görecektir.

bu Linux için yönlendirme ve iptables'ları yönetmek için Perl tabanlı bir yardımcı programdır, bizim amaçlarımız için mükemmeldir, aslında ilk önce tüm sağlayıcılar için bir yönlendirme tablosu oluşturur ve daha sonra tüm LAN trafiğini sağlayıcılar arasında eşit olarak dağıtır, yardımcı programın nasıl çalıştığını anlamak, 3 isp + 1 lan için küçük bir örnek (test konfigürasyonu)

 #cat /etc/network/balance.conf
 ##service    device   role     ping-ip           
 CABLE3       enp0s3   isp      10.0.2.2
 CABLE8       enp0s8   isp      10.0.3.2
 CABLE9       enp0s9   isp      10.0.4.2
 LAN          enp0s10  lan                        

 #cat /etc/network/interfaces
auto enp0s3
allow-hotplug enp0s3
iface enp0s3 inet dhcp

auto enp0s8
allow-hotplug enp0s8
iface enp0s8 inet dhcp

auto enp0s9
allow-hotplug enp0s9
iface enp0s9 inet dhcp

auto enp0s10
allow-hotplug enp0s10
iface enp0s10 inet static
    address 192.168.1.1/24

#Now work Net-ISP-Balance utility:

## Including rules from /etc/network/balance/pre-run/pre-run-script.pl ##
## Finished /etc/network/balance/pre-run/pre-run-script.pl ##
echo 0 > /proc/sys/net/ipv4/ip_forward
ip route flush all
ip rule flush
ip rule add from all lookup main pref 32766
ip rule add from all lookup default pref 32767
ip route flush table  2
ip route flush table  1
ip route flush table  3
ip route add  10.0.2.0/24 dev enp0s3 src 10.0.2.15
ip route add  10.0.3.0/24 dev enp0s8 src 10.0.3.15
ip route add  10.0.4.0/24 dev enp0s9 src 10.0.4.15
ip route add  0.0.0.0/0 dev enp0s10 src 
ip route add default scope global nexthop via 10.0.4.2 dev enp0s9 weight 1 nexthop via 10.0.3.2 dev enp0s8 weight 1 nexthop via 10.0.2.2 dev enp0s3 weight 1
ip route add table 2 default dev enp0s3 via 10.0.2.2
ip route add table 2 10.0.2.0/24 dev enp0s3 src 10.0.2.15
ip route add table 2 10.0.3.0/24 dev enp0s8 src 10.0.3.15
ip route add table 2 10.0.4.0/24 dev enp0s9 src 10.0.4.15
ip route add table 2 0.0.0.0/0 dev enp0s10 src 
ip rule add from 10.0.2.15 table 2
ip rule add fwmark 2 table 2
ip route add table 1 default dev enp0s8 via 10.0.3.2
ip route add table 1 10.0.2.0/24 dev enp0s3 src 10.0.2.15
ip route add table 1 10.0.3.0/24 dev enp0s8 src 10.0.3.15
ip route add table 1 10.0.4.0/24 dev enp0s9 src 10.0.4.15
ip route add table 1 0.0.0.0/0 dev enp0s10 src 
ip rule add from 10.0.3.15 table 1
ip rule add fwmark 1 table 1
ip route add table 3 default dev enp0s9 via 10.0.4.2
ip route add table 3 10.0.2.0/24 dev enp0s3 src 10.0.2.15
ip route add table 3 10.0.3.0/24 dev enp0s8 src 10.0.3.15
ip route add table 3 10.0.4.0/24 dev enp0s9 src 10.0.4.15
ip route add table 3 0.0.0.0/0 dev enp0s10 src 
ip rule add from 10.0.4.15 table 3
ip rule add fwmark 3 table 3
## Including rules from /etc/network/balance/routes/01.local_routes ##
# enter any routing commands you might want to go in
# for example:
# ip route add 192.168.100.1 dev eth0 src 198.162.1.14

## Finished /etc/network/balance/routes/01.local_routes ##
## Including rules from /etc/network/balance/routes/02.local_routes.pl ##
## Finished /etc/network/balance/routes/02.local_routes.pl ##
iptables -F
iptables -t nat    -F
iptables -t mangle -F
iptables -X
iptables -P INPUT    DROP
iptables -P OUTPUT   DROP
iptables -P FORWARD  DROP

iptables -N DROPGEN
iptables -A DROPGEN -j LOG -m limit --limit 1/minute --log-level 4 --log-prefix "GENERAL: "
iptables -A DROPGEN -j DROP

iptables -N DROPINVAL
iptables -A DROPINVAL -j LOG -m limit --limit 1/minute --log-level 4 --log-prefix "INVALID: "
iptables -A DROPINVAL -j DROP

iptables -N DROPPERM
iptables -A DROPPERM -j LOG -m limit --limit 1/minute --log-level 4 --log-prefix "ACCESS-DENIED: "
iptables -A DROPPERM -j DROP

iptables -N DROPSPOOF
iptables -A DROPSPOOF -j LOG -m limit --limit 1/minute --log-level 4 --log-prefix "DROP-SPOOF: "
iptables -A DROPSPOOF -j DROP

iptables -N DROPFLOOD
iptables -A DROPFLOOD -m limit --limit 1/minute  -j LOG --log-level 4 --log-prefix "DROP-FLOOD: "
iptables -A DROPFLOOD -j DROP

iptables -N DEBUG
iptables -A DEBUG  -j LOG --log-level 3 --log-prefix "DEBUG: "
iptables -t mangle -N MARK-CABLE3
iptables -t mangle -A MARK-CABLE3 -j MARK     --set-mark 2
iptables -t mangle -A MARK-CABLE3 -j CONNMARK --save-mark
iptables -t mangle -N MARK-CABLE8
iptables -t mangle -A MARK-CABLE8 -j MARK     --set-mark 1
iptables -t mangle -A MARK-CABLE8 -j CONNMARK --save-mark
iptables -t mangle -N MARK-CABLE9
iptables -t mangle -A MARK-CABLE9 -j MARK     --set-mark 3
iptables -t mangle -A MARK-CABLE9 -j CONNMARK --save-mark
iptables -t mangle -A PREROUTING -i enp0s10 -m conntrack --ctstate NEW -m statistic --mode random --probability 1 -j MARK-CABLE9
iptables -t mangle -A PREROUTING -i enp0s10 -m conntrack --ctstate NEW -m statistic --mode random --probability 0.5 -j MARK-CABLE8
iptables -t mangle -A PREROUTING -i enp0s10 -m conntrack --ctstate NEW -m statistic --mode random --probability 0.333333333333333 -j MARK-CABLE3
iptables -t mangle -A PREROUTING -i enp0s10 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -i enp0s3 -m conntrack --ctstate NEW -j MARK-CABLE3
iptables -t mangle -A PREROUTING -i enp0s3 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -i enp0s8 -m conntrack --ctstate NEW -j MARK-CABLE8
iptables -t mangle -A PREROUTING -i enp0s8 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -i enp0s9 -m conntrack --ctstate NEW -j MARK-CABLE9
iptables -t mangle -A PREROUTING -i enp0s9 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j DROPPERM
iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT   -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROPFLOOD
iptables -A INPUT   -i enp0s10 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT  -o enp0s10 -d 0.0.0.0/0  -j ACCEPT
iptables -A OUTPUT  -o enp0s10 -d 255.255.255.255/32  -j ACCEPT
iptables -A OUTPUT  -p udp -s 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD  -i enp0s10 -o enp0s3 -s 0.0.0.0/0 ! -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT   -o enp0s3                 ! -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD  -i enp0s10 -o enp0s8 -s 0.0.0.0/0 ! -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT   -o enp0s8                 ! -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD  -i enp0s10 -o enp0s9 -s 0.0.0.0/0 ! -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT   -o enp0s9                 ! -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT  -j DROPSPOOF
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp0s8 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp0s9 -j MASQUERADE
## Including rules from /etc/network/balance/firewall/01.accept ##
## This file contains iptables statements that add additional firewall rules

# allow incoming domain packets -- needed for DNS resolution
iptables -A INPUT   -p udp --source-port domain -j ACCEPT
# allow incoming NTP packets -- needed for net time protocol
iptables -A INPUT   -p udp --source-port ntp -j ACCEPT
## Finished /etc/network/balance/firewall/01.accept ##
## Including rules from /etc/network/balance/firewall/01.accept.pl ##
iptables -A INPUT -p tcp -s 0.0.0.0/0 --syn --dport ssh -j ACCEPT
## Finished /etc/network/balance/firewall/01.accept.pl ##
## Including rules from /etc/network/balance/firewall/02.forward.pl ##
iptables -A FORWARD -p udp --source-port domain -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p udp --source-port ntp    -d 0.0.0.0/0 -j ACCEPT
## Finished /etc/network/balance/firewall/02.forward.pl ##
echo 1 > /proc/sys/net/ipv4/ip_forward
## Including rules from /etc/network/balance/post-run/post-run-script.pl ##
## Finished /etc/network/balance/post-run/post-run-script.pl ##
itz
kaynak
Lütfen bu cevabı silmeyi ve bunun yerine karşılık gelen cevap için daha fazla açıklama isteyen bir yorum eklemeyi düşünün. Bu bir cevap değil. Teşekkür ederim.
Raffa
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.