我读了这个教程,但是我正在考虑一种通过在 2 个接口上应用 iptables 规则来实现 Internet 连接负载平衡的方法。以下是我的 iptables 规则。
#!/bin/sh
IPT="/sbin/iptables"
LAN='ens38'
WAN='ens33'
OPT='ens37'
LAN_NET="192.168.100.0/24"
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT
$IPT -A FORWARD -i $LAN -o $OPT -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -j ACCEPT
$IPT -A FORWARD -i $OPT -o $LAN -j ACCEPT
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $OPT -j MASQUERADE
# Load balancing rules (Split 50/50 between fwmark 1/2)
$IPT -t mangle -N balance1
$IPT -t mangle -A balance1 -m connmark ! --mark 0 -j RETURN
$IPT -t mangle -A balance1 -m state --state ESTABLISHED,RELATED -j RETURN
$IPT -t mangle -A balance1 -m statistic --mode nth --every 2 --packet 0 -j CONNMARK --set-mark 1
$IPT -t mangle -A balance1 -m statistic --mode nth --every 2 --packet 1 -j CONNMARK --set-mark 2
# Check to see if we have already marked a packet
$IPT -t mangle -A PREROUTING -m state --state ESTABLISHED,RELATED -j CONNMARK --restore-mark
$IPT -t mangle -A OUTPUT -m state --state ESTABLISHED,RELATED -j CONNMARK --restore-mark
# Mark incoming connections to return on the interface they came in on
$IPT -t mangle -A PREROUTING -i $WAN -m state --state NEW -j CONNMARK --set-mark 1
$IPT -t mangle -A PREROUTING -i $OPT -m state --state NEW -j CONNMARK --set-mark 2
# New outgoing packets
$IPT -t mangle -A PREROUTING -i $LAN -p tcp --dport 80 -m state --state NEW -j balance1
$IPT -t mangle -A PREROUTING -i $LAN -p tcp --dport 443 -m state --state NEW -j balance1
# $IPT -t mangle -A OUTPUT -p tcp --dport 80 -m state --state NEW -j balance1
# Choose our route and save the mark
$IPT -t mangle -A PREROUTING -m connmark --mark 1 -j MARK --set-mark 1
$IPT -t mangle -A PREROUTING -m connmark --mark 2 -j MARK --set-mark 2
$IPT -t mangle -A PREROUTING -m state --state NEW -m connmark ! --mark 0 -j CONNMARK --save-mark
echo 1 > /proc/sys/net/ipv4/ip_forward
我定义了 2 个表 wan 并选择加入,/etc/iproute2/rt_tables如下所示:
[root@R1 ~]# cat /etc/iproute2/rt_tables
#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
1 wan
2 opt
这是我为 iproute 添加路由的脚本:
LAN_DEV='ens38'
WAN_DEV='ens33'
OPT_DEV='ens37'
WAN_GW="192.168.84.2"
OPT_GW="192.168.0.1"
LAN_NET="192.168.100.0/24"
ip rule add fwmark 1 table wan
ip rule add fwmark 2 table opt
# Add default route for table wan and opt
ip route add default via $WAN_GW dev $WAN_DEV table wan
ip route add default via $OPT_GW dev $OPT_DEV table opt
# Add LAN route for table wan and opt
ip route add $LAN_NET dev $LAN_DEV table opt
ip route add $LAN_NET dev $LAN_DEV table wan
据我了解指导,restore-mark并save-mark 从连接标记中恢复并保存数据包标记。所以规则适用于每个数据包在一个连接。例如:我有一个连接A。iptables规则对连接A中的每4个数据包进行计数,并将其标记为1,2,1,2。
如果我有很多连接,如何单独标记连接。例如:我有 3 个连接 A、B、C,我想对它们进行计数并标记为:1、2、3。
实际上,该规则仅使用来自 WAN (ens33) 的路由。当数据包进入路由器时。它没有路由到 OPT (ens37),我无法解释。
答案1
您需要一个规则来接受已知的连接,而不需要重新标记它们。
这样,只有新连接才会触发计数器。
iptables -A PREROUTING -t mangle -j CONNMARK --restore-mark
iptables -A PREROUTING -t mangle -m mark ! --mark 0 -j ACCEPT
iptables -A PREROUTING -t mangle -m mark --mark 0 -m nth --counter 1 \
--every 3 --packet 1 -j MARK --set-mark 1
iptables -A PREROUTING -t mangle -m mark --mark 0 -m nth --counter 1 \
--every 3 --packet 2 -j MARK --set-mark 2
iptables -A PREROUTING -t mangle -m mark --mark 0 -m nth --counter 1 \
--every 3 --packet 3 -j MARK --set-mark 3
iptables -A POSTROUTING -t mangle -j CONNMARK --save-mark