iptables - 2 Internetprovider - roteamento

0

Eu tenho 2 conexões de Internet, recebidas em roteadores 2x (Fritzbox), nos seguintes fritz-n e fritz-t.

Cada fritzbox tem sua própria conexão à Internet de um provedor de serviços diferente. Ambos os roteadores apenas estabelecem a conexão com a internet e enviam todo o seu tráfego para diferentes interfaces no meu servidor (i.t.f. prox2)

fritz-n (192.168.36.254) --- > 192.168.36.253 no eth1
fritz-t (192.168.26.254) --- > 192.168.26.253 na eth2

Estamos usando primariamente a conexão à internet no fritz-n, o fritz-t é para failover e para o nosso roomer.

Eu configurei 2 subdomínios (office-t.abc.xyz e office-n.abc.xyz), cada um definiu um registro A para seu roteador.

Meu problema é, quando eu abro uma conexão ssh para office-n.abc.xyz -p 22 ele funciona bem, mas quando eu abro uma conexão ssh para office-t.abc.xyz -p 22 eu não consigo conectar . Todos os roteadores são configurados como host exposto, portanto, eles definitivamente não filtram nenhuma conexão.

Alguém sabe o que estou fazendo errado?

auto eth1
iface eth1 inet static
        address  192.168.36.253
        netmask  255.255.255.0
        up /sbin/route add default gw 192.168.36.254 metric 0 eth1
        down /sbin/route del default gw 192.168.36.254 metric 0 eth1

auto eth2
iface eth2 inet static
        address  192.168.26.253
        netmask  255.255.255.0
        up /sbin/route add default gw 192.168.26.254 metric 1 eth2
        down /sbin/route del default gw 192.168.26.254 metric 1 eth2

iptables:

 
# Generated by iptables-save v1.4.21 on Thu Sep 28 07:08:40 2017
*mangle
:PREROUTING ACCEPT [270255645:213936245583]
:INPUT ACCEPT [31520001:38963026250]
:FORWARD ACCEPT [238659546:174959469047]
:OUTPUT ACCEPT [17349995:1535871362]
:POSTROUTING ACCEPT [255986358:176485117432]
COMMIT
# Completed on Thu Sep 28 07:08:40 2017
# Generated by iptables-save v1.4.21 on Thu Sep 28 07:08:40 2017
*filter
:INPUT ACCEPT [31516323:38962721398]
:FORWARD ACCEPT [238471146:174935725039]
:OUTPUT ACCEPT [17322993:1524849152]
# Completed on Thu Sep 28 07:08:40 2017
# Generated by iptables-save v1.4.21 on Thu Sep 28 07:08:40 2017
*nat
:PREROUTING ACCEPT [1148316:120418773]
:INPUT ACCEPT [538183:39312329]
:OUTPUT ACCEPT [179594:13556948]
:POSTROUTING ACCEPT [448655:42796545]
-A PREROUTING ! -i vmbr0 -p tcp -m tcp --dport 1195 -j DNAT --to-destination 192.168.16.15:1195
-A PREROUTING ! -i vmbr0 -p udp -m udp --dport 1195 -j DNAT --to-destination 192.168.16.15:1195
-A PREROUTING ! -i vmbr0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.16.5:8080
-A PREROUTING ! -i vmbr0 -p tcp -m tcp --dport 10222 -j DNAT --to-destination 192.168.16.85:22
-A PREROUTING ! -i vmbr0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.16.3:22
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu Sep 28 07:08:40 2017
    
por Haiopaii 28.09.2017 / 08:57

1 resposta

0

Os seus pacotes de saída não estão sendo roteados pela eth1 quando você se conecta via eth2? Então eles ficam disfarçados, vêm para o seu cliente ssh de um endereço diferente e não são elegíveis para estabelecer a conexão.

A execução do tcpdump ou a adição de entradas de log às suas regras iptables podem ajudar a ver onde os pacotes passam.

    
por 19.02.2018 / 20:56