PHWinfo - Afficher un message - Help : chgt d'IP publique et serveur de messagerie -

07/09/2005, 19h32

Salut,

TiChou a écrit :
> Dans le message <news:431f1332$0$27405$8fcfb975@news.wanadoo.fr> ,
> *Jazzoroastre* tapota sur f.c.r.ip :
>
>> En gros si ça rentre par un des deux accès internet, il faut que ça
>> ressorte par le même.
>
>> C'est comme s'il fallait définir deux passerelles et dire que le traffic
>> qui vient de l'une doit repartir par la même.
>
>> Mon problème : comment faire comprendre ça à POP1 ?
>
> En faisant du source routing ?

Mon petit grain de sel. :-)

Pour les distraits, attention à ne pas confondre le "source routing",
routage imposé par l'émetteur d'un paquet, prévu dans le protocole IP
mais non utilisé à ma connaissance, avec une politique de routage
(routing policy) par l'adresse source, dont il est question ici.

J'apporte quelques précisions qui peuvent être utiles à Jazzoroastre :

Comme tu as deux routeurs distincts, une politique de routage ne peut se
faire que sur le serveur. Pour pouvoir utiliser l'adresse source comme
critère pour router les paquets sortants vers l'un ou l'autre routeur,
le serveur doit avoir deux adresses distinctes, chacune utilisée comme
adresse de redirection par un routeur.

Autrement, il y a un moyen simple, rapide et sale (quick and dirty) de
faire repartir les paquets de réponse par le bon routeur sans politique
de routage, mais tu n'en voudras sûrement pas à cause de son "léger"
défaut. Il suffit de faire du NAT source (SNAT) avec iptables sur les
flux entrants redirigés par les deux routeurs. Ainsi l'adresse de
destination d'un paquet de réponse émis par le serveur sera directement
l'adresse du routeur à utiliser. Il y a cependant un inconvénient majeur
évident : le serveur ne voit pas l'adresse source réelle des connexions
qu'il reçoit.

Pour finir, il y a peut-être moyen d'éviter tout ça en jouant sur le TTL
au niveau DNS. En le réduisant suffisamment à l'avance avant de faire la
transition de l'adresse IP, les caches expireront rapidement (la
"réplication" est instantanée, c'est l'expiration qui prend du temps).
Et pendant ce temps, le(s) MX secondaire(s) garderont les mails en attente.

07/09/2005, 19h32	#3
Pascal@plouf Messages: n/a Hébergeur:	Re: : chgt d'IP publique et serveur de messagerie - Salut, TiChou a écrit : > Dans le message <news:431f1332$0$27405$8fcfb975@news.wanadoo.fr> , > Jazzoroastre tapota sur f.c.r.ip : > >> En gros si ça rentre par un des deux accès internet, il faut que ça >> ressorte par le même. > >> C'est comme s'il fallait définir deux passerelles et dire que le traffic >> qui vient de l'une doit repartir par la même. > >> Mon problème : comment faire comprendre ça à POP1 ? > > En faisant du source routing ? Mon petit grain de sel. :-) Pour les distraits, attention à ne pas confondre le "source routing", routage imposé par l'émetteur d'un paquet, prévu dans le protocole IP mais non utilisé à ma connaissance, avec une politique de routage (routing policy) par l'adresse source, dont il est question ici. J'apporte quelques précisions qui peuvent être utiles à Jazzoroastre : Comme tu as deux routeurs distincts, une politique de routage ne peut se faire que sur le serveur. Pour pouvoir utiliser l'adresse source comme critère pour router les paquets sortants vers l'un ou l'autre routeur, le serveur doit avoir deux adresses distinctes, chacune utilisée comme adresse de redirection par un routeur. Autrement, il y a un moyen simple, rapide et sale (quick and dirty) de faire repartir les paquets de réponse par le bon routeur sans politique de routage, mais tu n'en voudras sûrement pas à cause de son "léger" défaut. Il suffit de faire du NAT source (SNAT) avec iptables sur les flux entrants redirigés par les deux routeurs. Ainsi l'adresse de destination d'un paquet de réponse émis par le serveur sera directement l'adresse du routeur à utiliser. Il y a cependant un inconvénient majeur évident : le serveur ne voit pas l'adresse source réelle des connexions qu'il reçoit. Pour finir, il y a peut-être moyen d'éviter tout ça en jouant sur le TTL au niveau DNS. En le réduisant suffisamment à l'avance avant de faire la transition de l'adresse IP, les caches expireront rapidement (la "réplication" est instantanée, c'est l'expiration qui prend du temps). Et pendant ce temps, le(s) MX secondaire(s) garderont les mails en attente.