Alin Nastac wrote: >Cum am mai spus: > >ip route del default >ip rule add from $ip1 lookup table1 prio 32766 >ip rule add from $ip2 lookup table2 prio 32766 > >ip route add table table1 default via $gw1 dev $eth1 >ip route add table table2 default via $gw2 dev $eth1 >ip route add table default default via $gw dev $eth #nu .. nu e typo > mai simplu si mai clar pt cine nu stie sa citeasca:
ip route add default table default via $gw dev $eth obs: trebuie decomentata linia care defineste tabela default in /etc/iproute2/rt_tables. implicit tabelele local,main si default nu au definita asocierea simbolica nume - valoare. cel putin, nu in pachetele iproute.rpm furnizate de RH. >ip route flush cache > > mda. tot nu merge. stind acum si rumegind la cele zise de tine ieri, apropo de ordinea in care se face prelucrarea pachetelor, incep sa cred ca nici nu va merge. corectati-ma daca gresesc: - pachetul de initiere a conexiunii vine prin eth2 (provider 2), avind ca adresa destinatie EXTERNAL_IP2 - in PREROUTING regula de DNAT ii rescrie destinatia in IP_MAIL - se face rutarea care il arunca inspre serverul de mail din spate - serverul de mail raspunde. pachetele vor avea - evident - ca sursa adresa serverului de mail iar ca destinatie adresa celui care a initiat conexiunea de la pasul 1 - se face rutarea pe baza regulilor ip rule/ip route. evident ca orice regula care ia in considera "pachetele cu sursa egala cu EXTERNAL_IP2" nu va face match, din simplul motiv ca la acest punct pachetele au ca sursa IP_MAIL. ca atare pachetele vor iesi prin interfata specificata de ruta default - in POSTROUTING se reface conform tabelei de conntrack adresa sursa a pachetelor, prin inlocuirea IP_MAIL cu EXTERNAL_IP2 (DNAT-ul pt pachetele de raspuns) Cum reguli de rutare pe baza IP_MAIL nu se pot pune (e adresa publica a serverului de mail, valida prin providerul 1), se pare ca trebuie sa ma gindesc la alt sistem. ideile care imi vin acum a) -j ROUTE ; a facut cineva experimente cu chestia asta ? b) un SNAT care sa minareasca pachetele DNAT-uite, astfel incit sa stiu sa diferentiez ulterior raspunsurile serverului de mail pe baza adresei destinatie si nu a celei sursa. problema e ca in acest caz se fac prastie logurile de mail :( Si ca raspuns la o intrebare/sugestie de ieri: prefer sa evit sa fac modificari pe masina care e server de mail. Printre altele si pt ca nici nu e linux si nici nu il controlez eu.
