Nous avons récemment commencé à ajouter à nos serveurs DMZ une deuxième carte NIC à utiliser dans un réseau de gestion. Le serveur est censé faire tout via la NIC DMZ (eth0, natted et sur 10.x.x.x) sauf lorsqu'il essaie d'atteindre/répondre aux réseaux internes (tous les autres RFC1918) via eth1.
La solution suivante (qui fonctionne, autant que je puisse le dire) est-elle OK? Nous avons eu un peu de mal avec le routage asymétrique et rp_filter (et avons essayé ce guide http://jensd.be/468/linux/two-network-cards-rp_filter) mais à la fin de la journée, j'ai opté pour des routes statiques qui semblent plus faciles et plus propres.. mais cela me fait me demander si je rate quelque chose. Y a-t-il un problème avec cette approche?
# DMZ
> cat /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE="Ethernet"
BOOTPROTO="none"
DEFROUTE="yes"
NAME="eth0"
DEVICE="eth0"
ONBOOT="yes"
GATEWAY=10.0.0.1
IPADDR=10.0.0.2
NETMASK=255.255.255.0
IPV4_FAILURE_FATAL="yes"
IPV6INIT="no"
HWADDR="xyz"
# MNG
> cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE="Ethernet"
BOOTPROTO="none"
DEFROUTE="no"
NAME="eth1"
DEVICE="eth1"
ONBOOT="yes"
IPADDR=192.168.35.2
NETMASK=255.255.255.0
GATEWAY=192.168.35.1
IPV4_FAILURE_FATAL="yes"
IPV6INIT="no"
HWADDR="wxz"
# Statics
> cat /etc/sysconfig/network-scripts/route-eth1
192.168.0.0/16 via 192.168.35.1
172.16.0.0/12 via 192.168.35.1
# rp_filter and ip r
> sysctl -a|grep "\.rp_filter"
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.eth1.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 0
> ip r
default via 10.0.0.1 dev eth0
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.2
169.254.0.0/16 dev eth0 scope link metric 1002
169.254.0.0/16 dev eth1 scope link metric 1003
172.16.0.0/12 via 192.168.35.1 dev eth1
192.168.0.0/16 via 192.168.35.1 dev eth1
192.168.35.0/24 dev eth1 proto kernel scope link src 192.Merci beaucoup
