LinuxでPBR(Policy Base Routing)

3516 ワード

iproute2 Linux Routing Network iptables Linux テキストリンク

CiscoやYAMAHAのルーターならフィルタなどを利用してポリシーベースルーティングできると思います。
同じようにLinuxでもやりたいと思います。

ポリシーベースルーティングとは、通常のルーティングと違い、ホスト内で完結させるルーティング手法。
特定の動作の時に特定のルートテーブルを使う。といった感じです。(説明難しい。。。)
例えば・・・

マルチホーム環境で特定のポートにアクセスする場合は、ゲートウェイを変えたい。
マルチホーム環境で、入ってきたI/Fのアクセスは応答する時も同じI/Fで出したい。などなど。。。

キモはマルチホーム環境である事。

例題)特定のポートにアクセスする場合にゲートウェイを変えたい

どんなシチュエーションが考えられるか？
・通常はA回線を使っているが、httpアクセスの時はB回線を使いたい。

今回の環境は
・ホストに外線が3本刺さっており(192.168.0.2,192.168.1.2,192.168.2.2)、その先にゲートウェイ(192.168.0.1,192.168.1.1,192.168.2.1)がそれぞれあるとする。
・ホストから12.34.56.78のhttpアクセスはゲートウェイAから。12.34.56.78のhttpsアクセスはゲートウェイBから。12.34.56.78のsshアクセスはゲートウェイCから。それぞれアクセスするようにしたい。

こんな事を叶えるために必要なLinuxの機能は
* iproute2
* iptables
になります。

iptablesで特定のポートに向かうパケットに印を付け(iptables)、印の付いているパケットは指定のルーティングテーブルを使う(iproute2)。

1.iptablesに印を付ける

パケットに印を付けるにはiptablesのmangleテーブルを使用する。

# iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 1　←tcp80に向かって出ていくパケットに「1」をマークする
# iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2　←tcp443に向かって出ていくパケットに「2」をマークする
# iptables -t mangle -A OUTPUT -p tcp --dport 22 -j MARK --set-mark 3　←tcp22に向かって出ていくパケットに「3」をマークする

2.iproute2にルールを追加する

印を付けたパケットに対するルールを指定する。

# ip rule add fwmark 1 table 10　←「1」をマークされているパケットは「table10」を参照する
# ip rule add fwmark 2 table 20　←「2」をマークされているパケットは「table20」を参照する
# ip rule add fwmark 3 table 30　←「3」をマークされているパケットは「table30」を参照する

更にゲートウェイ宛のインターフェースが複数あるため、戻りパケットにも指定を入れておく。

# ip rule add from 192.168.0.2 table 10　←「192.168.0.2」に入ってきたパケットは「table10」を参照する
# ip rule add from 192.168.1.2 table 20　←「192.168.1.2」に入ってきたパケットは「table20」を参照する
# ip rule add from 192.168.2.2 table 30　←「192.168.2.2」に入ってきたパケットは「table30」を参照する

3.iproute2にルートを追加する

参照させるルートtableを作成する。

# ip route add default dev eth1 via 192.168.0.1 table 10　←「table10」のデフォルトゲートウェイはeth1の先の192.168.0.1とする
# ip route add default dev eth2 via 192.168.1.1 table 20　←「table20」のデフォルトゲートウェイはeth2の先の192.168.1.1とする
# ip route add default dev eth3 via 192.168.2.1 table 30　←「table30」のデフォルトゲートウェイはeth3の先の192.168.2.1とする

それぞれのtableにローカルリンクを追記しておく方が良いので、適宜対応しましょう。
ローカルリンクの書き方は

# ip route show table main

を参照し、default意外を適用すると良いぞ！

ワンライナーだとこんな感じ

# ip route show table main | grep -Ev ^default | while read ROUTE ; do ip route add table "table名" $ROUTE; done

以上で設定は終わり。実際に検証してみよう。
問題なければ /etc/rc.localか何か起動スクリプトに追加するといいかもしれない。

Author And Source

この問題について(LinuxでPBR(Policy Base Routing)), 我々は、より多くの情報をここで見つけました https://qiita.com/MT-07/items/fa7f34a5dec34b6a0757

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .