Voglio trovare la giusta combinazione di comandi iptables per rispondere alle seguenti necessità:
- I NE sono NATed tramite il box Linux (usando iptables) verso il cloud WAN, dove si trovano i server NTP.
- Per ottenere la ridondanza, i server NTP si trovano in un cluster di bilanciamento del carico con un indirizzo IP virtuale (172.30.4.245)
- Il problema è che quando i NE richiedono aggiornamenti NTP utilizzando 172.30.4.245, la risposta NTP viene ricevuta da uno degli indirizzi IP effettivi (.200, .230 .240).
Esempio:
Iptables non consente questo flusso, il che è normale poiché l'indirizzo richiesto rispetto a quello di risposta non è lo stesso (172.30.4.245 vs 172.30.4.230):
Richiesta: UDP 10.68.2.11:23445 ---> 172.30.4.245:123 (questo è prima di NAT, ovviamente dopo NAT la fonte è 10.23.14.72) Risposta: UDP 172.30.4.230:123 ---> 10.23.14.72: 23445 (Risposta all'indirizzo WAN)
Mi chiedo se esiste un modo per consentire a iptables di stabilire il flusso UDP solo in base alla (s-port / d-port) indipendentemente dagli indirizzi IP, ed eseguire il NAT sulla LAN in base a quello.
UDP / NTP è solo un esempio, quasi tutti i servizi necessari sono configurati allo stesso modo (bilanciamento del carico nel cluster).
MASQUERADEusare entrambi i sistemi di bilanciamento del carico, ma il suggerimento che segue con qualcosa come `` ipvsadm` è buono.