On Tue, Oct 4, 2011 at 10:40 PM, Henry M. Umansky <span dir="ltr"><<a href="mailto:humansky@princeton.edu">humansky@princeton.edu</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div style="word-wrap:break-word">Let me know if this doesn't make sense or if I'm over-architecting the system...which I've been known to do :-)<br clear="all"></div></blockquote></div><br>You *could* add another route, tell the kernel to use the eth0:0 IP address for specific routes:<br>

<br>[root@ellahgrace ~]# ip route <br><a href="http://192.168.2.0/24">192.168.2.0/24</a> dev eth1  proto kernel  scope link  src 192.168.2.100 <br><br>tcpdump of ping request (notice the source IP is 192.168.2.100)<br>08:36:15.945374 IP 192.168.2.100 > <a href="http://192.168.2.254">192.168.2.254</a>: ICMP echo request, id 45145, seq 1, length 64<br>

08:36:15.946212 IP 192.168.2.254 > <a href="http://192.168.2.100">192.168.2.100</a>: ICMP echo reply, id 45145, seq 1, length 64<br><br>[root@ellahgrace ~]# ip route add <a href="http://192.168.2.254/32">192.168.2.254/32</a> dev eth1 proto static scope link src 192.168.2.101<br>

[root@ellahgrace ~]# ip route <br>192.168.2.254 dev eth1  proto static  scope link  src 192.168.2.101 <br><a href="http://192.168.2.0/24">192.168.2.0/24</a> dev eth1  proto kernel  scope link  src 192.168.2.100 <br><br clear="all">

Now all packets to 192.168.2.254 should come with the src 192.168.2.101, as you can see here:<br><br>08:44:57.841931 IP 192.168.2.101 > <a href="http://192.168.2.254">192.168.2.254</a>: ICMP echo request, id 14171, seq 3, length 64<br>

08:44:57.842533 IP 192.168.2.254 > <a href="http://192.168.2.101">192.168.2.101</a>: ICMP echo reply, id 14171, seq 3, length 64<br><br>When the interface belonging to 192.168.2.101 (in my case eth1:1 - yours is probably eth0:0) goes down, so does the route and future packets will just come from any available interface. The static route just needs to be added when your aliased interface gets added, the kernel will take it away when it is not longer available.<br>

<br>IMHO, I think this will just cause more problems than what it's worth. It's common, in my experience, to see VIP / Load Balanced setups come from different interfaces.<br><br>IMHO, as for your trusted proxy configurations, just match a subnet, like <a href="http://192.168.1.0/27">192.168.1.0/27</a> or similar.<br>

<br>-- <br>Bradley Falzon<br><a href="mailto:brad@teambrad.net" target="_blank">brad@teambrad.net</a><br>