On Thu, 12 Jun 2003 06:13 +0300, lonely wolf wrote: > Cum reguli de rutare pe baza IP_MAIL nu se pot pune (e adresa publica a > serverului de mail, valida prin providerul 1), se pare ca trebuie sa ma > gindesc la alt sistem. ideile care imi vin acum > a) -j ROUTE ; a facut cineva experimente cu chestia asta ? > b) un SNAT care sa minareasca pachetele DNAT-uite, astfel incit sa stiu > sa diferentiez ulterior raspunsurile serverului de mail pe baza adresei > destinatie si nu a celei sursa. problema e ca in acest caz se fac > prastie logurile de mail :(
c) http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.3 si in mangle pui o regula de genul: # iptables -t mangle -A PREROUTING -i $INTERNAL_INTERFACE \ -m conntrack --ctorigdst $EXTERNAL_IP2 --ctreplsrc $IP_MAIL -j MARK ... (adica se marcheaza pachetele raspuns ce vin din reteaua interna, de la ip-ul serverului de mail, iar in conntrack destinatia pachetelor DNAT-uite era ip-ul de la al doilea provider) plus rutare pe baza marcajului. Astfel, cu regula iptables data ai acces inainte de rutare la pachetele de raspuns corespunzatoare operatiei DNAT. Cred ca e cea mai eleganta solutie. Pacat ca cu versiunea actuala a modulului nu se pot folosi si porturi pentru cazul in care s-ar realiza mai multe operatii DNAT, pentru mai multe servicii. Dar pentru un singur serviciu e ok.
