Hola parece que el problema se resolvió..^^ estaba bien la idea anterior solo que tenia que ser una ip de una interfaz válida y además la linea:
iptables -t nat -I POSTROUTING 1 *-d* 10.0.0.1 -p tcp -j SNAT --to $WAN_1 debía de ser: iptables -t nat -I POSTROUTING 1 *-s* 10.0.0.1 -p tcp -j SNAT --to $WAN_1 y con esto bastaba, ahora solo hacemos el mark en postrouting para -s 10.0.0.1 y luego atrapar el paquete con TC.. pronto hare un howto de como hacer todo esto a mas detalle y se los haré saber.. saludos and thx ... El 6 de junio de 2010 20:29, kei kurono <[email protected]> escribió: > sorry si no me explique bien, por que los adsl's estan pasando por un route > previamente, y por eso se necesita natear. > , tengo otra duda, sobre donde apunta el tcp_outgoing_address: > > > acl usuariosVIP src 10.1.1.1 10.1.1.2 10.1.1.3 > > tcp_outgoing_address IP_PUBLICA2 usuariosVIP > > Esta ip o interfaz (IP_PUBLICA2) debe de ser una para cada cliente?, ya que > si fuese así yo podria aplicar mis reglas de control de trafico sobre cada > una de ellas y así estaria aplicando estas reglas en cada ip y no a todos > (10.1.1.1, 10.1.1.2 y 10.1.1.3) a la ves. ya que quiero hacer un balanceo > pero para cada uno. > He tratado de tomar en el chain OUTPUT y POSTROUTING los paquetes > "nateados" por squid y no se puede, > ice esto: > > iptables -t nat -I POSTROUTING 1 -d 10.0.0.1 -p tcp -j SNAT --to $WAN_1 > > y en squid : > > acl balance_up src $IP_CLIENTE > tcp_outgoing_address 10.0.0.1 balance_up > > la ip 10.0.0.1 es cualquier ip, esto lo hago para poder tomarlo a el > unicamente en el postrouting y poder marcarlo para luego hacer el TC con > esta marca, pero en este ejemplo solo lo nateo para probar que este bien, > pero el resultado es QUE NO RESULTA. el $IP_CLIENTE no tiene internet. > muestra "socket failure" en su navegador. > > alguna otra manera?.. > > saludos... > > > > > > El 6 de junio de 2010 16:03, Diego Woitasen <[email protected]>escribió: > > El día 6 de junio de 2010 17:13, kei kurono <[email protected]> >> escribió: >> > Hola, ahora entiendo un poco mas.... >> > , pero tengo una duda, >> > si un paquete de mi lan pasa por mi squid y se le aplica la sentencia >> que me >> > diste: >> > >> > tcp_outgoing_address IP_PUBLICA2 usuariosVIP >> > >> > >> > a nivel de iptables, los paquetes que salgan del squid, se dirigirán sin >> > necesidad de hacerles POSTROUTING a su respectiva interfaz osea a >> > IP_PUBLICA2?, entonces los paquetes que salgan del squid vendran >> nateados >> > (si se cumple el acl)?. >> > lo que pasa es que quiero poner marcas a los paquetes que salgan del >> OUTPUT >> > para luego repartir los paquetes a 2 adsl's. las pares a 1 adsl y la >> impar a >> > la otra adsl. entonces mi duda viene si squid me dara paquetes nateados >> o >> > como? para poder distinguir los paquetes que pasaron por el acl de squid >> con >> > las que no pasaron las acl's. >> > >> > Thxs.. >> > >> > >> >> >> >> No es que la marcas se pierden, que al tener un proxy en el medio los >> >> paquetes que vienen de tu LAN terminan en el proxy y los paquetes >> >> generados por el proxy son nuevos. Los que querés vos se hace con el >> >> parámetro tcp_outgoing_address de Squid y source routing. No me acuero >> >> bien de memoria toda la sintaxis pero sería algo así: >> >> >> >> squid.conf >> >> acl usuariosVIP src 10.1.1.1 10.1.1.2 10.1.1.3 >> >> >> >> tcp_outgoing_address IP_PUBLICA2 usuariosVIP >> >> >> >> A nivel ruteo: >> >> >> >> ip rule add from IP_PUBLICA2 table 10 >> >> ip route table 10 add default via GATEWAY_PUBLICA2 >> >> >> >> saludos! >> >> >> >> -- >> >> Diego Woitasen >> >> Lanux - Grupo de usuarios de GNU/Linux de Lanus >> >> Visitanos en: http://www.lanux.org.ar >> >> >> >> Reglas de etiqueta para el posteo de mensajes a la lista: >> >> http://www.lanux.org.ar/?page_id=35 >> >> >> >> Articulos y noticias por rss: >> >> http://www.lanux.org.ar/?feed=rss2 >> >> >> >> Lanux por irc: >> >> irc.freenode.net -> #lanux. >> >> _______________________________________________ >> >> General mailing list >> >> [email protected] >> >> http://listas.lanux.org.ar/cgi-bin/mailman/listinfo/general >> > >> > >> > Lanux - Grupo de usuarios de GNU/Linux de Lanus >> > Visitanos en: http://www.lanux.org.ar >> > >> > Reglas de etiqueta para el posteo de mensajes a la lista: >> > http://www.lanux.org.ar/?page_id=35 >> > >> > Articulos y noticias por rss: >> > http://www.lanux.org.ar/?feed=rss2 >> > >> > Lanux por irc: >> > irc.freenode.net -> #lanux. >> > _______________________________________________ >> > General mailing list >> > [email protected] >> > http://listas.lanux.org.ar/cgi-bin/mailman/listinfo/general >> > >> > >> >> >> Si el Squid está en la máquina que tenés directamente conectado los >> dos ADSLs, entonces nunca hay NAT, los paquetes ya salen directamente >> de Squid con la IP pública. Igual no tiene sentido poner marcas y que >> se yo, la distribución de carga la hacés con el Squdi mismo y listo. >> Con lo que te pasé antes alcanza. >> >> saludos! >> >> -- >> Diego Woitasen >> Lanux - Grupo de usuarios de GNU/Linux de Lanus >> Visitanos en: http://www.lanux.org.ar >> >> Reglas de etiqueta para el posteo de mensajes a la lista: >> http://www.lanux.org.ar/?page_id=35 >> >> Articulos y noticias por rss: >> http://www.lanux.org.ar/?feed=rss2 >> >> Lanux por irc: >> irc.freenode.net -> #lanux. >> _______________________________________________ >> General mailing list >> [email protected] >> http://listas.lanux.org.ar/cgi-bin/mailman/listinfo/general >> > >
Lanux - Grupo de usuarios de GNU/Linux de Lanus Visitanos en: http://www.lanux.org.ar Reglas de etiqueta para el posteo de mensajes a la lista: http://www.lanux.org.ar/?page_id=35 Articulos y noticias por rss: http://www.lanux.org.ar/?feed=rss2 Lanux por irc: irc.freenode.net -> #lanux. _______________________________________________ General mailing list [email protected] http://listas.lanux.org.ar/cgi-bin/mailman/listinfo/general
