[LUGOS] Routing/NAT/spam težava

Nejc Škoberne nejc at skoberne.net
Thu Jan 10 10:44:24 CET 2008


Živjo,

imam dva FreeBSD strežnika - eden na T-2, drugi na SiOL povezavi. Uporabljam
torej "poor-man's" multihoming. Na tem T-2 strežniku laufa tudi spletni strežnik
(virtualiziran), ki ima kot default route nastavljen T-2jev gateway.
Na SiOLovem strežniku pa je narejena preusmeritev vrat 80 na T-2jev (po lokalni
mreži). Za www.domena.si sta tako 2 zapisa, en kaže na SiOLov IP, drugi na T-2jev.

Stvar sicer deluje v redu, vendar je težava v tem, da zaradi round-robina, ki ga
počnejo DNSji, ne morem nikoli vedeti ali bo request prišel notri skozi SiOLov
strežnik ali T-2jev. Seveda moram na SiOLovem strežniku početi Source NAT, da
potem spletni strežnik ve da mora request, ki pride skozi SiOLov strežnik, odgovoriti
na lokalen IP od SiOL strežnika. Ker če ne bi ga poslal ven skozi default route
(od T-2) in stvar bi se izgubila v prostranstvih interneta.

Ta SNAT mi dela preglavice zaradi spama - na tej spletni strani teče Wordpress in
za detekcijo spama (za komentarje) uporablja neko stvar, ki gleda IPje. In pač tiste
requeste, ki pridejo notri preko SiOLove povezave vedno vidi kot requeste iz istega
(lokalnega od SiOL strežnika) IPja. Kar povzroča, da je treba na roke ven iz karantene
dajat komentarje.

Kaka ideja kako bi to rešil?

Ena se mi zdi ta, da pozabim na več A zapisov za domeno in naredim "lastno" posodabljanje
DNSjev (in default routeov) s kratkimi TTL časi v primeru izpada ene izmed povezav. Ampak
si predstavljam da je ta rešitev kar zapletena (vsaj da bi jo naredil zanesljovo) in
naporna za testiranje (veliko noči bi šlo, ker čez dan mora to delati).

Hvala in LP,
Nejc


More information about the lugos-list mailing list