https://www.opennet.ru/openforum/vsluhforumID1/76819.html Доброе время суток!<br><br>Подскажите, кто знает, как решить такую задачу...<br>Есть 2 сетевых интерфейса, каждый в своей подсетке...<br>Нужно сделать так чтобы весь трафик шел через 1-ый интерфейс, а трафик DNS (исходящие сообщения с этой машины) отправлялись через 2-ой.<br><br>Шлюз по умолчанию - адрес через 1-ый интерфейс.<br><br>У меня получается так, что ДНС запросы приходят на нужный адрес (2-ой интерфейс), а то что сам DNS сервер генерит уходит на шлюз по умолчанию (1-ый интерфейс). Как сделать чтобы он попадал на 2-ой???<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#9 Wed, 17 Oct 2007 12:19:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;У меня получается так, что ДНС запросы приходят на нужный адрес (2-ой <br>&gt;&gt;интерфейс), а то что сам DNS сервер генерит уходит на шлюз <br>&gt;&gt;по умолчанию (1-ый интерфейс). Как сделать чтобы он попадал на 2-ой??? <br>&gt;&gt;<br>&gt;<br>&gt;а что мешает поднять днс с вюверами, <br>&gt;и локальным клиентам сделать отдельный wiev с <br>&gt;recursion no; <br>&gt;???? <br>&gt;тогда все проблемы отпадут... <br><br>Ладно, черт с этим ДНС)))) Я вообще универсальное средство хочу)))<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#8 Wed, 17 Oct 2007 11:52:37 GMT &gt;[оверквотинг удален]<br>&gt;Есть 2 сетевых интерфейса, каждый в своей подсетке... <br>&gt;Нужно сделать так чтобы весь трафик шел через 1-ый интерфейс, а <br>&gt;трафик DNS (исходящие сообщения с этой машины) отправлялись через 2-ой. <br>&gt;<br>&gt;Шлюз по умолчанию - адрес через 1-ый интерфейс. <br>&gt;<br>&gt;У меня получается так, что ДНС запросы приходят на нужный адрес (2-ой <br>&gt;интерфейс), а то что сам DNS сервер генерит уходит на шлюз <br>&gt;по умолчанию (1-ый интерфейс). Как сделать чтобы он попадал на 2-ой??? <br>&gt;<br><br>а что мешает поднять днс с вюверами,<br>и локальным клиентам сделать отдельный wiev с <br>recursion no;<br>????<br>тогда все проблемы отпадут...<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#7 Wed, 17 Oct 2007 10:39:55 GMT &gt;&gt;хех -- пожалуйста <br>&gt;&gt;а если добавить <br>&gt;&gt;iptables -t mangle -A OUTPUT -m conntrack --ctstate NEW --ctproto udp -p <br>&gt;&gt;udp --dport 53 -j MARK --set-mark 1 <br>&gt;&gt;ip rule add fwmark 1 table secondiface <br>&gt;<br>&gt;Решение о маршрутизации принимается до того как пакет попадет в OUTPUT. Так <br>&gt;что пофиг. <br><br>ошибочное понимание движения пакетов, в данном примере используется цепочка OUTPUT таблицы mangle<br>и эта цепочка работает с пакетами от локальных процессов<br>внимательней прочтите порядок движения пакетов от локальных процессов<br>http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGGENERAL<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#6 Wed, 17 Oct 2007 09:24:03 GMT &gt;хех -- пожалуйста <br>&gt;а если добавить <br>&gt;iptables -t mangle -A OUTPUT -m conntrack --ctstate NEW --ctproto udp -p <br>&gt;udp --dport 53 -j MARK --set-mark 1 <br>&gt;ip rule add fwmark 1 table secondiface <br><br>Решение о маршрутизации принимается до того как пакет попадет в OUTPUT. Так что пофиг.<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#5 Wed, 17 Oct 2007 08:20:29 GMT хех -- пожалуйста<br>а если добавить<br>iptables -t mangle -A OUTPUT -m conntrack --ctstate NEW --ctproto udp -p udp --dport 53 -j MARK --set-mark 1<br>ip rule add fwmark 1 table secondiface<br><br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#4 Wed, 17 Oct 2007 05:49:37 GMT &gt;[оверквотинг удален]<br>&gt;ip rule add from xxx.xxx.xxx.xxx table secondiface (здесь иксами ip второго интерфейса) <br>&gt;<br>&gt;ip route add default via yyy.yyy.yyy.yyy dev eth2 src xxx.xxx.xxx.xxx table secondiface <br>&gt;(здесь вайками шлюз второго интерфейса) <br>&gt;ip route flush cache <br>&gt;<br>&gt;шлюз по умолчанию настроен только на первом интерфейсе <br>&gt;<br>&gt;основной трафик будет идти через первый -- НО все запросы которые пришли <br>&gt;со второго на втором и остануться <br><br>Да, спасибо за совет, так все работает. Однако, ситуация, когда, например, ДНС сервер сам не знает ответа на запрос клиента, заставляет его самого инициировать коннект на другой ДНС сервер, и этот трафик, к сожалению, попадает на первый интерфейс, т.е. не туда куда нужно. Но часть трафика (запрос от клиента - ответ (если он локально известен)) хотябы сейчас идет куда нужно, утилизация на 1-ом интерфейсе упала немного. Спасибо еще раз.)<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#3 Wed, 17 Oct 2007 04:00:35 GMT echo secondiface &gt;&gt;/etc/iproute2/rt_tables<br>ip rule add from xxx.xxx.xxx.xxx table secondiface (здесь иксами ip второго интерфейса)<br>ip route add default via yyy.yyy.yyy.yyy dev eth2 src xxx.xxx.xxx.xxx table secondiface (здесь вайками шлюз второго интерфейса)<br>ip route flush cache<br><br>шлюз по умолчанию настроен только на первом интерфейсе<br><br>основной трафик будет идти через первый -- НО все запросы которые пришли со второго на втором и остануться<br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#2 Tue, 16 Oct 2007 16:43:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;интерфейс), а то что сам DNS сервер генерит уходит на шлюз <br>&gt;&gt;по умолчанию (1-ый интерфейс). Как сделать чтобы он попадал на 2-ой??? <br>&gt;&gt;<br>&gt;<br>&gt;с помощью iptables помечать пакеты на 53 порту (--mark), с помощью iproute <br>&gt;загонять эти пакеты в таблицу, в которой шлюз по умолчанию настроен <br>&gt;на второй интерфейс. <br>&gt;<br>&gt;почитай здесь <br>&gt;http://www.opennet.ru/openforum/vsluhforumID1/74353.html <br><br>Там как раз написано, что таким образом работать не будет, т.к. решение о маршрутизации пакета от локального приложения принимается 1-ым делом еще до поступления пакета в таблицу mangle цепочки OUTPUT. Я сам попробовал это все проделать - ничего не работает.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/76819.html#1 Tue, 16 Oct 2007 13:08:13 GMT &gt;[оверквотинг удален]<br>&gt;Есть 2 сетевых интерфейса, каждый в своей подсетке... <br>&gt;Нужно сделать так чтобы весь трафик шел через 1-ый интерфейс, а <br>&gt;трафик DNS (исходящие сообщения с этой машины) отправлялись через 2-ой. <br>&gt;<br>&gt;Шлюз по умолчанию - адрес через 1-ый интерфейс. <br>&gt;<br>&gt;У меня получается так, что ДНС запросы приходят на нужный адрес (2-ой <br>&gt;интерфейс), а то что сам DNS сервер генерит уходит на шлюз <br>&gt;по умолчанию (1-ый интерфейс). Как сделать чтобы он попадал на 2-ой??? <br>&gt;<br><br>с помощью iptables помечать пакеты на 53 порту (--mark), с помощью iproute загонять эти пакеты в таблицу, в которой шлюз по умолчанию настроен на второй интерфейс.<br><br>почитай здесь<br>http://www.opennet.ru/openforum/vsluhforumID1/74353.html<br>