Доступ к сайту через третий интерфейс

[Galanov]

Добрый день.
Уважаемые, прощу помощи, т.к. один не могу разобраться.
Имеется  шлюз в образовательном учреждении на котором 3 провайдера:

(Нажмите, чтобы показать/скрыть)

ifconfig -a
ens160    Link encap:Ethernet  HWaddr 00:0c:29:93:eb:08
          inet addr:192.168.0.95  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe93:eb08/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2227 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2317 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1883308 (1.8 MB)  TX bytes:430953 (430.9 KB)

ens192    Link encap:Ethernet  HWaddr 00:0c:29:93:eb:12
          inet addr:192.168.100.1  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe93:eb12/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4567 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4271 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:781360 (781.3 KB)  TX bytes:2285000 (2.2 MB)

ens224    Link encap:Ethernet  HWaddr 00:0c:29:93:eb:1c
          inet addr:192.168.1.95  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe93:eb1c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:85 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6613 (6.6 KB)  TX bytes:598 (598.0 B)

ens256    Link encap:Ethernet  HWaddr 00:0c:29:93:eb:26
          inet addr:10.7.204.229  Bcast:10.7.204.255  Mask:255.255.255.192
          inet6 addr: fe80::20c:29ff:fe93:eb26/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1927 (1.9 KB)  TX bytes:1422 (1.4 KB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1010 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1010 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:143763 (143.7 KB)  TX bytes:143763 (143.7 KB)

ens160 - первый провайдер
ens224 - второй провайдер
ens256 - третий провайдер
ens192 - локальная сеть
160 и 224 используются для выхода в интернет (160 основной, 224 резервный)

Также есть сайт: http://10.3.47.15 доступ к которому необходимо осуществить через провайдера 256 только трем компьютерам локальной сети.

На шлюзе следующая таблица маршрутизации, которая настраивалась с помощью этого сайта  http://opennet.ru/docs/RUS/LARTC/x348.html

(Нажмите, чтобы показать/скрыть)

ip -4 route show table all type unicast
default via 192.168.0.1 dev ens160  table CREDO
10.7.204.192/26 dev ens256  table CREDO  scope link
127.0.0.0/8 dev lo  table CREDO  scope link
192.168.0.0/24 dev ens160  table CREDO  scope link
192.168.1.0/24 dev ens224  table CREDO  scope link
192.168.100.0/24 dev ens192  table CREDO  scope link
default via 192.168.1.1 dev ens224  table RT
10.7.204.192/26 dev ens256  table RT  scope link
127.0.0.0/8 dev lo  table RT  scope link
192.168.0.0/24 dev ens160  table RT  scope link
192.168.1.0/24 dev ens224  table RT  scope link
192.168.100.0/24 dev ens192  table RT  scope link
default via 10.7.204.193 dev ens256  table FRDO
10.7.204.192/26 dev ens256  table FRDO  scope link
127.0.0.0/8 dev lo  table FRDO  scope link
192.168.0.0/24 dev ens160  table FRDO  scope link
192.168.100.0/24 dev ens192  table FRDO  scope link
default via 192.168.0.95 dev ens160
10.7.204.192/26 dev ens256  proto kernel  scope link  src 10.7.204.229
192.168.0.0/24 dev ens160  proto kernel  scope link  src 192.168.0.95
192.168.1.0/24 dev ens224  proto kernel  scope link  src 192.168.1.95
192.168.100.0/24 dev ens192  proto kernel  scope link  src 192.168.100.1

пробовал добавлять маршрут вида ip route add 10.3.47.15 via 10.7.204.229,
но не работает.

Помогите, пожалуйста, корректно добавить маршрут, чтобы данный сайт был виден из локальной сети. Давать доступ 3 компам, буду позже, так- как тут, если я правильно понимаю задачу, надо работать уже с iptables. И основная задача в правильной настройке маршрутизации.

[Azure]

В той же инструкции есть ответ на Ваш вопрос

Вы хотите, чтобы пакет с определенным адресом источника маршрутизировался через соответствующий интерфейс:

Код: [Выделить]

ip rule add from $IP1 table T1
ip rule add from $IP2 table T2       

ИМХО: все что Вы наворотили решается через iptables...

[Galanov]

адресом источника

я видел это, но позвольте, это плавило для источника, т.е. для компьютера, с которого я буду обращаться к адресу 10.3.47.15.

В этом случае, все пакеты с компьютера пойдут через эту таблицу, а мне надо, чтобы только 1 сайт.

[Azure]

это плавило для источника, т.е. для компьютера, с которого я буду обращаться к адресу 10.3.47.15.

сами поставили условие

только трем компьютерам локальной сети

Что касается

надо, чтобы только 1 сайт

добавляйте в соответствующую таблицу (вроде FRDO у Вас названа).

[AnrDaemon]

Правила ФИЛЬТРАЦИИ решаются через iptables.
Правила МАРШРУТИЗАЦИИ решаются через ip rule/ip route.

[Galanov]

Добрый вечер, всем!
Это снова я. После очередных размышлений и чтений интернета продолжаю свою тему.
Напомню условие задачи: есть комп в локалной сети с ip 192.168.100.253 необходимо дать ему доступ к сайту на адресе 10.3.47.15 через сетевой интерфейс ens256.
Я решил решить задачу через маркировку пакетов iptables.
В итоге, делаю я:
1. Маркирую пакеты идущие с ip 192.168.100.253 на 10.3.47.15

Код: [Выделить]

sudo iptables -A PREROUTING -s 192.168.100.253 -d 10.3.47.15 -t mangle -j MARK --set-mark 2
2. Добавляю правило, чтобы все маркированные пакеты шли в таблицу FRDO

Код: [Выделить]

sudo ip rule add fwmark 2 table FRDO
3. Добавляю маршрут по умолчанию, который идет через интерфейс ens256 и маршрут к этому шлюзу

Код: [Выделить]

sudo ip route add default via 10.7.204.193 dev ens256 table FRDO
sudo ip route add 10.7.204.192/26 dev ens256 table FRDO

Пробую в браузере открыть 10.3.47.15 - тишина.
Что делаю не так? может чего-то не учел?

[alex286]

Откройте для себя команду traceroute. Сами все увидите..

[Galanov]

А есть возможность посмотреть какая таблица маршрутизации используется при запросе сайта?

[Galanov]

Всем привет. Снова я. Никак не могу до конца разобраться. Прошу помощи зала )
Оставим пока настройку таблиц с http://opennet.ru/docs/RUS/LARTC/x348.html

Имеем стандартные маршруты и правила, организованные самой системой. Также, я добавил маршрут, чтобы все компьютеры сети могли зайти на сайт 10.3.47.15. Это работает.

(Нажмите, чтобы показать/скрыть)

default via 192.168.0.1 dev ens160 onlink
10.3.47.15 via 10.7.204.193 dev ens256
10.7.204.192/26 dev ens256  proto kernel  scope link  src 10.7.204.253
192.168.0.0/24 dev ens160  proto kernel  scope link  src 192.168.0.95
192.168.1.0/24 dev ens224  proto kernel  scope link  src 192.168.1.95
192.168.100.0/24 dev ens192  proto kernel  scope link  src 192.168.100.1

(Нажмите, чтобы показать/скрыть)

0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

Теперь я хочу, чтобы только отдельные компьютеры ходили на 10.3.47.15
Что делаю:

Код: [Выделить]

sudo iptables -A PREROUTING -s 192.168.100.253 -d 10.3.47.15 -t mangle -j MARK --set-mark 2
sudo ip route add default via 10.7.204.193 dev ens256 table FRDO
sudo ip route add 192.168.100.0/24 dev ens192 table FRDO
sudo ip rule add fwmark 2 table FRDO
sudo ip rule add iif ens256 table FRDO
И не работает. Никак не могу понять почему, кажись все учел... I need help!

Спасибо всем откликнувшимся.

[AnrDaemon]

Вы бы показывали iptables-save, ip rule and ip route после а не до изменений.

[Galanov]

Вы бы показывали iptables-save, ip rule and ip route после а не до изменений.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

default via 10.7.204.193 dev ens256  table FRDO
192.168.100.0/24 dev ens192  table FRDO  scope link
default via 192.168.0.1 dev ens160 onlink
10.7.204.192/26 dev ens256  proto kernel  scope link  src 10.7.204.253
192.168.0.0/24 dev ens160  proto kernel  scope link  src 192.168.0.95
192.168.1.0/24 dev ens224  proto kernel  scope link  src 192.168.1.95
192.168.100.0/24 dev ens192  proto kernel  scope link  src 192.168.100.1

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

0:      from all lookup local
32764:  from all iif ens256 lookup FRDO
32765:  from all fwmark 0x2 lookup FRDO
32766:  from all lookup main
32767:  from all lookup default

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Sat Oct 27 10:23:25 2018
*filter
:INPUT ACCEPT [1652:745763]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1720:215652]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i ens192 -o ens160 -j ACCEPT
-A FORWARD -i ens192 -o ens256 -j ACCEPT
-A FORWARD -i eth160 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth160 -o eth192 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Oct 27 10:23:25 2018
# Generated by iptables-save v1.6.0 on Sat Oct 27 10:23:25 2018
*nat
:PREROUTING ACCEPT [391:54550]
:INPUT ACCEPT [153:10299]
:OUTPUT ACCEPT [124:8539]
:POSTROUTING ACCEPT [362:52790]
-A POSTROUTING -s 192.168.100.3/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.9/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.10/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.75/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.134/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.146/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.166/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.172/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.153/32 -j MASQUERADE
-A POSTROUTING -s 192.168.100.253/32 -j MASQUERADE
COMMIT
# Completed on Sat Oct 27 10:23:25 2018
# Generated by iptables-save v1.6.0 on Sat Oct 27 10:23:25 2018
*mangle
:PREROUTING ACCEPT [2692:983134]
:INPUT ACCEPT [1694:768519]
:FORWARD ACCEPT [998:214615]
:OUTPUT ACCEPT [1608:199457]
:POSTROUTING ACCEPT [2608:414579]
-A PREROUTING -s 192.168.100.253/32 -d 10.3.47.15/32 -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sat Oct 27 10:23:25 2018

[AnrDaemon]

Я не вижу в ваших правилах маркировки решения задачи.
Во-первых, оно одно, во-вторых, оно описывает только один пакет.
Смотрите, например, на https://home.regit.org/netfilter-en/netfilter-connmark/

[Galanov]

Решил задачу без маркировки.
Т.к. доступ нужен всего 3м компьютерам сети, то для них прописал правил на отдельную таблицу маршрутизации, в которой и указал маршрут для 10.3.47.15, и включил нат для этих компьютеров.

[AnrDaemon]

Как вариант, конечно, годится. Но настраивать сложнее.

[fisher74]

ИМХО, сложнее настраивать то, что не знаешь как это настроить.