Dmitry A. Zhiglov -> [email protected] @ Thu, 6 Dec 2012 10:13:28 +0400:
DAZ> Ок, настройте. На тестовом стенде ибо доступ дать не могу. А тестовый стенд дать можешь? Минимум из 5 машин, соединенных не более чем попарно (целевая машина, на которую нужен форвардинг, роутер, два роутера его каналов, и одна машина по ту сторону этих роутеров). У меня такого зоопарка тупо нет, потестировать не на чем. А потестировать надо, готовые правила протоптались пару переездов той конторы назад (перестало быть нужно). DAZ> Самое горячее и печалное что у меня времени нет. (( DAZ> С форвардингом может и разобрался, но в роутингом затык. Задачи у меня DAZ> сейчас "кардинально с разных планет" - разрываюсь DAZ> Вот что уже есть DAZ> # iptables -t nat -nvL PREROUTING DAZ> Chain PREROUTING (policy ACCEPT 11773 packets, 2159K bytes) DAZ> pkts bytes target prot opt in out source DAZ> destination DAZ> 0 0 CONNMARK tcp -- * * 0.0.0.0/0 DAZ> ISP_WAN2 tcp dpt:3389 CONNMARK set 0x2 DAZ> # iptables -t mangle -nvL PREROUTING DAZ> Chain PREROUTING (policy ACCEPT 23364 packets, 4349K bytes) DAZ> pkts bytes target prot opt in out source DAZ> destination DAZ> 0 0 CONNMARK tcp -- * * ISP_WAN2 DAZ> SOME_LOCAL_HOST tcp spt:3389 CONNMARK restore DAZ> # ip ru DAZ> 0: from all lookup local DAZ> 499: from all fwmark 0x2 lookup localnet DAZ> 500: from all lookup localnet DAZ> 1000: from ISP_WAN1 lookup wan1 DAZ> 2000: from ISP_WAN2 lookup wan2 DAZ> 32766: from all lookup main DAZ> 32767: from all lookup default DAZ> # ip ro ls table wan1 DAZ> default via ISP_IP1 dev eth1 DAZ> NET_WAN1 dev eth1 scope link DAZ> # ip ro ls table wan2 DAZ> default via ISP_IP2 dev eth2 DAZ> ISP_NET2 dev eth2 scope link DAZ> # ip ro ls table localnet DAZ> LOCAL_NET dev eth0 scope link DAZ> Может кто что подскажет? DAZ> ВСЕМ: Если что, личка открыта для контактов Что-то не очень понятно, зачем CONNMARK. Я не помню, чтоб я им пользовался, когда аналогичную фигню настраивал. Просто DNAT с обоих внешних адресов в одно и то же место, кажется, работал. Он же действует только на первый пакет сеанса, входящий, а дальше следит за соединением. С UDP, помнится, было хуже, но то было не с DNAT, а непосредственно с роутером. source-based правило не срабатывало, потому что локально исходящий ответный пакет по UDP шел с дефолтным source (по TCP он идет с тем адресом, на который пришел клиент). А с DNAT как раз может и с UDP сработать. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
