Новые ответы

Debian. Частичное перенаправление трафика через другой шлюз.,

Павел, 21-Авг-12, 23:46 [смотреть все]

Всем привет!
Уже несколько дней пытаюсь решить задачу с частичным перенаправлением трафика через другой шлюз - все без успешно...
Опишу подробнее:
Система Linux Debian
интерфейсы:
eth0 (1.1.1.1) - Провайдер инета 1
eth1 (2.2.2.2) - Провайдер инета 2
Шлюз по умолчанию: 1.1.1.1
1. Как перенаправить трафик предназначенный для 3.3.3.3 порт 111 через eth1 (2.2.2.2)?
2. И трафик предназначенный для 4.4.4.4 порт 222 отправить через eth0 (1.1.1.1) - с этим понятно, по умолчанию весь трафик идет через него. А как быть с первым вариантом?
Заранее благодарен за помощь!

Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., LSTemp, 00:55 , 22-Авг-12 (1)
>[оверквотинг удален]
> Система Linux Debian
> интерфейсы:
> eth0 (1.1.1.1) - Провайдер инета 1
> eth1 (2.2.2.2) - Провайдер инета 2
> Шлюз по умолчанию: 1.1.1.1
> 1. Как перенаправить трафик предназначенный для 3.3.3.3 порт 111 через eth1 (2.2.2.2)?
> 2. И трафик предназначенный для 4.4.4.4 порт 222 отправить через eth0 (1.1.1.1)
> - с этим понятно, по умолчанию весь трафик идет через него.
> А как быть с первым вариантом?
> Заранее благодарен за помощь!
почитайте про policy routing

Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., Павел, 19:37 , 22-Авг-12 (2)
Собственно почитал...
Вот делаю:
iptables -t mangle -A OUTPUT -p tcp -d $SERVER_IP --dport $SERVER_PORT -j MARK --set-mark 1
ip rule add from all fwmark 1 table T1
И не работает. Может не правильно маркирую?

T1 - создана. Система замечательно работает на двух провайдерах (оправляет ответные пакеты через интерфейс с которого пришел запрос)
Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., PavelR, 21:11 , 22-Авг-12 (3)
> Собственно почитал...
> Вот делаю:
> iptables -t mangle -A OUTPUT -p tcp -d $SERVER_IP --dport $SERVER_PORT -j
> MARK --set-mark 1
> ip rule add from all fwmark 1 table T1
> И не работает. Может не правильно маркирую?
Может неправильно проверяешь?

Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., Павел, 21:28 , 22-Авг-12 (5)
> Может неправильно проверяешь?
проверяю так да и openvpn-клиентом (в конфиге стоит tcp)
tracert -T 3.3.3.3 -p 111

Ответить | Сообщить модератору
Debian. Частичное перенаправление трафика через другой шлюз., Павел, 21:30 , 22-Авг-12 (6)
>> Собственно почитал...
>> Вот делаю:
>> iptables -t mangle -A OUTPUT -p tcp -d $SERVER_IP --dport $SERVER_PORT -j
>> MARK --set-mark 1
>> ip rule add from all fwmark 1 table T1
>> И не работает. Может не правильно маркирую?
Этим способом вообще на работает, как будто пакеты убиваются.

Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., LSTemp, 19:25 , 23-Авг-12 (7)
> Собственно почитал...
> Вот делаю:
> iptables -t mangle -A OUTPUT -p tcp -d $SERVER_IP --dport $SERVER_PORT -j
> MARK --set-mark 1
> ip rule add from all fwmark 1 table T1
> И не работает. Может не правильно маркирую?
а почему OUTPUT? трафик от сервера идет? если транзитный, то маркировать надо в FORWARD.
> T1 - создана. Система замечательно работает на двух провайдерах (оправляет ответные пакеты
> через интерфейс с которого пришел запрос)
Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., Павел, 21:26 , 22-Авг-12 (4)
Пробовал и так:
iptables -t mangle -A POSTROUTING -j CONNMARK --restore-mark
iptables -t mangle -A POSTROUTING -m mark ! --mark 0 -j ACCEPT
iptables -t mangle -A POSTROUTING -p tcp --dport $SERVER_PORT -j MARK --set-mark 1
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark

Все равно пакеты идут через 1.1.1.1
Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., LSTemp, 19:42 , 23-Авг-12 (8)
различайте цели MARK и CONNMARK.
Ответить | Сообщить модератору

Debian. Частичное перенаправление трафика через другой шлюз., LSTemp, 19:51 , 23-Авг-12 (9)
-
Ответить | Сообщить модератору