Dmitry Fedoseev -> [email protected] @ Thu, 12 May 2005 16:52:16
+0600:
>> > Настройка DNAT - дело нехитрое. Непонятно вот что - если клиен
>> > т "входит"
>> > со стороны провайдера2, то как направить ответный трафик через
>> > этого же
>> > провайдера2, а не по дефолтному маршруту?
>>
>> Маркировать пакеты на интерфейсе с помощью iptables -j MARK и
>> разруливать с помощью ip route (разные таблицы роутинга для разных
>> интерфейсов). Advanced Routing HowTо, кажется, называется документ,
>> в котором подобная ситуация хорошо описана.
DF> Документ хорош, спору нет. Но...
DF> Приходящим от провайдера1 SYN делаем --set-mark 1
DF> Приходящим от провайдера2 SYN делаем --set-mark 2
DF> Оба SYN попали на целевой хост и он дважды ответил ACK. Если ACK будут
DF> иметь маркеры, соответствующие своим SYN, то разрулить эти ACK на
DF> маршрутизаторе - не проблема.
DF> Но если маркеры не сохраняются, то на основании чего их можно
DF> восстановить?
DF> Чтение lartc прямого ответа не дало. Плохо читал?
Видимо. Роутить надо на основании исходящего адреса. А его DNAT
выставит правильно - соответственно тому, на который входили. Иначе
сессия не установится.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED]
НИИ требуются:
1. Кто бы мог подумать.
Кнышев.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
