Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: outgoing IP

To: nginx-ru@xxxxxxxxx
Subject: Re: outgoing IP
From: "Alexey V. Karagodov" <kav@xxxxxxxxxxxxxx>
Date: Sat, 31 May 2008 02:34:44 +0400
In-reply-to: <48402F29.6080309@xxxxxxxxxxx>
References: <483FD47E.9020204@xxxxxxxxxx> <.62.218.60.210.1212154171.squirrel@xxxxxxxxxxx> <48400E9C.9000405@xxxxxxxxxx> <91c9771b0805300749q7711dbbfjbe10997ecdbfa01f@xxxxxxxxxxxxxx> <48402F29.6080309@xxxxxxxxxxx>

рекомендую не смешивать router/firewall/switch с http-сервером

в carp-е (я так понял, у Вас фря) вроде можно перехватывать события?вызывать /usr/local/etc/rc.d/nginx reloadплюс к тому, чтобы во фре пакеты нормально уходили с нужныхинтерфейсов (пакет пришёл на один ip, а ответ от http-сервера уйдёт(если ничего не делать) с default ip (если gateway-ев несколько), надонастраивать pf

про nat забудьте

в любом случае nginx должен как то узнать, что у сервера появился ещёодин ip адрес

P.S.: было бы неплохо узнать точную конфигурацию Вашего (как бы этоназвать) кластера ...


On 30.05.2008, at 20:45, Valery Kholodkov wrote:

Вообще SNAT-ить серверные соединения линуксячим снатом, да ещё натой жесамой машине, где стоит nginx -- это как-то несерьезно. Тогда можновообще без nginx-а.
Даже быстрый поиск в поисковиках дает результат, соответствующий
простому умственному эксперименту:

http://lists.netfilter.org/pipermail/netfilter/2005-May/060460.html

А именно: NAT -- это не для больших нагрузок.

Автору оригинального письма нужно разбираться, почему у него клиенты
приходяд на физический интерфейс, а не на carp.

Борис Долгов wrote:
iptables -t nat -A OUTPUT -m owner --uid-owner <uid пользователя, под
которым работает nginx> -d ip1 -p tcp --dport port -j SNAT --to-source
ip2
Возможно, грабли, но работать должно и в голову ничего больше неприходит :)ip1 - ip, на который уходит пакет, ip2 - ip, с какого долженприходить пакет
Можно попробовать просто
iptables -t nat -A OUTPUT -p tcp --dport port -d ip1 -j SNAT --to-source ip2
если ядро без ipt_owner
30 мая 2008 г. 18:26 пользователь Goncharov Yuri <neo@xxxxxxxxxx>написал:
Valery Kholodkov wrote:

Goncharov Yuri пишет:



Есть ли программная
возможность nginxу указать src ip? (просто
не знаю как организован сетевой
уровень).


Явно указать адрес этого интерфейса в
директиве listen, а так же параметр bind.
Может я чего то не понимаю, но в listen,bind идёт речь о том, накакомIP/порту nginx будет принимать запросы, а меня интересует src ipпакета от
nginx который уйдёт вовне в качестве reply
--
Regards,
Valery Kholodkov

References:
- outgoing IP
  - From: Goncharov Yuri
- Re: outgoing IP
  - From: Valery Kholodkov
- Re: outgoing IP
  - From: Goncharov Yuri
- Re: outgoing IP
  - From: Борис Долгов
- Re: outgoing IP
  - From: Valery Kholodkov

Prev by Date: Re: worker process ... exited on signal 25
Next by Date: nginx memcache proxy_store fastcgi_store
Previous by thread: Re: outgoing IP
Next by thread: Балансировка fastcgi
Index(es):
- Date
- Thread