https://opennet.ru/openforum/vsluhforumID1/91643.html Всем привет.<br>Устал боротся, перепробовал кучу советов. Не чего не вышло. Я не силен в этом, вот и уткнулся.<br>итак вопрос.<br>сервер<br>конфиг сети<br>eth0 - static 1.1.1.2<br>eth1 - static 2.2.2.2<br>eth2 - local net 192.168.0.1<br><br>сначала исполняю скрипт<br><br>IF1=eth0<br>IF2=eth1<br><br>IP1=1.1.1.1<br>IP2=2.2.2.2<br><br>P1=1.1.1.1<br>P2=2.2.2.1<br><br>P1_NET=1.1.1.0/24<br>P2_NET=2.2.2.0/24<br><br>SRV1=192.168.0.1<br>SRV2=192.168.0.100<br><br>ip route add $P1_NET dev $IF1 src $IP1 table T1<br>ip route add default via $P1 table T1<br><br>ip route add $P2_NET dev $IF2 src $IP2 table T2<br>ip route add default via $P2 table T2<br><br>ip route add $P1_NET dev $IF1 src $IP1<br>ip route add $P2_NET dev $IF2 src $IP2<br>ip route add default via $P1 metric 10<br><br>ip rule add from $IP1 table T1<br>ip rule add from $IP2 table T2<br><br>ip rule add from $SRV1 fwmark 10 table T1<br>ip rule add from $SRV2 fwmark 20 table T2<br><br>Теперь нужно завтавить чтоб с локальной сети все имели доступ в инет через 1,1,1,1<br>а 192,168,0,100 монопольно использовал 2,2,2,2<br>при этом шлюз по ssh отвечал н https://opennet.ru/openforum/vsluhforumID1/91643.html#10 Wed, 01 Jun 2011 12:36:45 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Собственно - идею надо понять, а дальше делать.<br>&gt; Идея реализации понятна или нет?<br><br>нет...<br>можно как то так - что, куда написать?<br> https://opennet.ru/openforum/vsluhforumID1/91643.html#9 Wed, 01 Jun 2011 10:32:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; == <br>&gt;&gt; В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам <br>&gt;&gt; делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих <br>&gt;&gt; пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к <br>&gt;&gt; серверу в локальной сети <br>&gt;&gt; (в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING.<br>&gt;&gt; == <br>&gt; Перепробовал уже огромную кучу вариантов таблиц, нечего не помогает...<br>&gt; Хоть кто-то может мне помочь написать правила, а не посылать читать, я <br>&gt; уже так начитался, что скоро сам себя понимать не буду...((( <br><br>ну так там и написано как эти правила пишутся. <br>Хотя, вторая статья несколько неправильной получилась, собственно она второй-то и не была, она была первой =) вот и комом получилась.<br><br><br>Собственно - идею надо понять, а дальше делать.<br><br>Идея реализации понятна или нет?<br> https://opennet.ru/openforum/vsluhforumID1/91643.html#8 Wed, 01 Jun 2011 07:37:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ну и конечно не забыть про маркировку пакетов <br>&gt;&gt; для этого написана вторая статья: http://www.opennet.ru/tips/1651_route_iptables_linux_nat.shtml <br>&gt; статья несколько кривовата, поэтому особое внимание обратите на абзац: <br>&gt; == <br>&gt; В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам <br>&gt; делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих <br>&gt; пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к <br>&gt; серверу в локальной сети <br>&gt; (в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING.<br>&gt; == <br><br>Перепробовал уже огромную кучу вариантов таблиц, нечего не помогает...<br>Хоть кто-то может мне помочь написать правила, а не посылать читать, я уже так начитался, что скоро сам себя понимать не буду...((( <br> https://opennet.ru/openforum/vsluhforumID1/91643.html#7 Thu, 26 May 2011 12:11:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt; После прочтения статьи он должен содержать указанные тобой pref.<br>&gt; изучил, прописал, но как теперь насчет iptables?<br>&gt; кто-то может мне накидать правило <br>&gt; пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят <br>&gt; по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на <br>&gt; второго <br>&gt; для 22 порта чтоб <br>&gt; если приходит с первого провайдера то отвечал 192,168,0,1 <br>&gt; если приходит со второго провайдера то отвечал 192,168,0,100 <br>&gt; ну и конечно не забыть про маркировку пакетов <br><br>возможно, можно обойтись и без маркировки пакетов, если сделать<br><br>ip ru add pref XXXX from 192.168.0.100 lookup T2<br>+<br>iptables -t nat -i T2_IFACE -p tcp --dport 22 -j DNAT --to-destination 192.168.0.100<br> https://opennet.ru/openforum/vsluhforumID1/91643.html#6 Thu, 26 May 2011 12:08:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; изучил, прописал, но как теперь насчет iptables?<br>&gt;&gt; кто-то может мне накидать правило <br>&gt;&gt; пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят <br>&gt;&gt; по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на <br>&gt;&gt; второго <br>&gt;&gt; для 22 порта чтоб <br>&gt;&gt; если приходит с первого провайдера то отвечал 192,168,0,1 <br>&gt;&gt; если приходит со второго провайдера то отвечал 192,168,0,100 <br>&gt;&gt; ну и конечно не забыть про маркировку пакетов <br>&gt; для этого написана вторая статья: http://www.opennet.ru/tips/1651_route_iptables_linux_nat.shtml <br><br>статья несколько кривовата, поэтому особое внимание обратите на абзац:<br><br>==<br>В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам <br>делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих <br>пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к серверу в локальной сети<br>(в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING. <br>==<br><br> https://opennet.ru/openforum/vsluhforumID1/91643.html#5 Thu, 26 May 2011 12:07:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt; После прочтения статьи он должен содержать указанные тобой pref.<br>&gt; изучил, прописал, но как теперь насчет iptables?<br>&gt; кто-то может мне накидать правило <br>&gt; пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят <br>&gt; по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на <br>&gt; второго <br>&gt; для 22 порта чтоб <br>&gt; если приходит с первого провайдера то отвечал 192,168,0,1 <br>&gt; если приходит со второго провайдера то отвечал 192,168,0,100 <br>&gt; ну и конечно не забыть про маркировку пакетов <br><br>для этого написана вторая статья: http://www.opennet.ru/tips/1651_route_iptables_linux_nat.shtml<br> https://opennet.ru/openforum/vsluhforumID1/91643.html#4 Thu, 26 May 2011 11:14:25 GMT &gt; вкуривай: http://opennet.ru/tips/2009_policy_route_linux.shtml <br>&gt; потом делай, должно всё получиться.<br>&gt; если не будет получаться - делай вывод "ip ru sh".<br>&gt; После прочтения статьи он должен содержать указанные тобой pref.<br><br>изучил, прописал, но как теперь насчет iptables?<br>кто-то может мне накидать правило <br>пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на второго<br>для 22 порта чтоб <br>если приходит с первого провайдера то отвечал 192,168,0,1<br>если приходит со второго провайдера то отвечал 192,168,0,100<br>ну и конечно не забыть про маркировку пакетов<br> https://opennet.ru/openforum/vsluhforumID1/91643.html#3 Thu, 26 May 2011 07:53:32 GMT &gt; Вопрос на вскидку: <br>&gt; IP1=1.1.1.1 <br>&gt; <br>&gt; ^ <br>&gt; IP2=2.2.2.2 <br>&gt; Ошибся здесь или в конфигах тоже?<br><br>нет, только сдесь<br> https://opennet.ru/openforum/vsluhforumID1/91643.html#2 Thu, 26 May 2011 07:20:31 GMT Вопрос на вскидку:<br><br>IP1=1.1.1.1<br> ^<br>IP2=2.2.2.2<br><br>Ошибся здесь или в конфигах тоже?<br>