https://www.opennet.ru/openforum/vsluhforumID1/92340.html Сделал маршрутизацию на 2 провайдера(метки расставляются в Iptables а затем по ip rule fwmark уходят на свою таблицу маршрутизации), ходит всё замечательно, но заметил одну странную вещь, а именно если убираю default маршруты из main (2 маршрута на gw провайдеров с разными metric) то новых соединений не происходит - не возможно подключиться, хотя уже подключенные вроде работают (впн не отвалился)<br>iptables (только относящееся к маршрутизации):<br>#routing<br>iptables -t mangle -N MARK_CONN<br>iptables -t mangle -A MARK_CONN -d 192.168.0.0/16 -j RETURN<br>iptables -t mangle -A MARK_CONN -d 10.0.0.0/8 -j RETURN<br>iptables -t mangle -A MARK_CONN -m connmark ! --mark 0 -j RETURN<br>iptables -t mangle -A MARK_CONN -j CONNMARK --set-mark 1<br>iptables -t mangle -A MARK_CONN -m statistic --mode random --probability 0.28 -j RETURN<br>iptables -t mangle -A MARK_CONN -j CONNMARK --set-mark 2<br><br>iptables -t mangle -A PREROUTING -i eth1 -m state --state NEW,RELATED -j CONNMARK --set-mark 1<br>iptables -t mangle -A PREROUTING -i ppp0 -m s https://www.opennet.ru/openforum/vsluhforumID1/92340.html#5 Fri, 28 Oct 2016 09:49:21 GMT &gt; ещё одно замечание: в таком случае как у меня лучше поставить default <br>&gt; gw на 127.0.0.1.<br>&gt; причина - один из провайдеров отключает от сети если не со своим <br>&gt; ipшником в его сети сидишь и бывают случаи когда пакет с <br>&gt; обратным адресом ppp0 лезет через eth1 (когда передаётся TCP-RST видимо тогда <br>&gt; conntrack уже не отслеживает соединение и метка не ставится и пускает <br>&gt; пакет через table main) тогда при каком то значении этих пакетов <br>&gt; пров отрубает. с default gw dev lo эти пакеты будут просто <br>&gt; гаситься я так понимаю. по крайней мере пакетов с чужим исход <br>&gt; ip более не наблюдается ни на одном из внешних интерфейсов <br><br>Тоже вариант. Я добавлял правило в iptables, запрещающее исходящим пакетам на внешних интерфейсах иметь ip внутренних сетей.<br> https://www.opennet.ru/openforum/vsluhforumID1/92340.html#4 Sat, 25 Aug 2012 10:12:05 GMT &gt; ip rule from $IP_DOMRU table domru prio x <br><br>вместо "prio x" "prio y" х и y приоритеты ну или вообще без этих частей<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92340.html#3 Sat, 25 Aug 2012 10:10:29 GMT сколько времени прошло... сейчас другие скрипты...<br>исправляется это не гейтом на 127.0.0.1 <br>ip rule from $IP_PNZ table pnz prio x<br>ip rule from $IP_DOMRU table domru prio x<br>и пакеты уходят куда надо.<br> https://www.opennet.ru/openforum/vsluhforumID1/92340.html#2 Thu, 29 Sep 2011 05:12:54 GMT ещё одно замечание: в таком случае как у меня лучше поставить default gw на 127.0.0.1.<br>причина - один из провайдеров отключает от сети если не со своим ipшником в его сети сидишь и бывают случаи когда пакет с обратным адресом ppp0 лезет через eth1 (когда передаётся TCP-RST видимо тогда conntrack уже не отслеживает соединение и метка не ставится и пускает пакет через table main) тогда при каком то значении этих пакетов пров отрубает. с default gw dev lo эти пакеты будут просто гаситься я так понимаю. по крайней мере пакетов с чужим исход ip более не наблюдается ни на одном из внешних интерфейсов<br> https://www.opennet.ru/openforum/vsluhforumID1/92340.html#1 Wed, 28 Sep 2011 15:51:26 GMT наверно ему нужен хоть какойто default gw в main для определения output интерфейса перед попаданием в -t mangle -a output, поставил его на 127.0.0.1 и снова всё заработало.<br>кстати netstat привязал все исходящие соединения к ip eth0 (видимо первого в системе интерфейса)<br>