Балансировка iptables

[fet4]

Не могу понять где за тык, подскажите!
Использую вот такую конструкцию:

Код: [Выделить]

ip rule add fwmark 1 table prov1
ip rule add fwmark 2 table prov2
ip rule add fwmark 3 table prov3


Код: [Выделить]

iptables -t mangle -N bind_connect
iptables -t mangle -A bind_connect -i eth0 -j CONNMARK --set-mark 1
iptables -t mangle -A bind_connect -i eth1 -j CONNMARK --set-mark 2
iptables -t mangle -A bind_connect -i eth2 -j CONNMARK --set-mark 3
iptables -t mangle -I INPUT -m conntrack --ctstate NEW -j bind_connect

iptables -t mangle -N select_prov
iptables -t mangle -A select_prov -j CONNMARK --set-mark 1
iptables -t mangle -A select_prov -m statistic --mode random --probability 0.34 -j RETURN #
iptables -t mangle -A select_prov -j CONNMARK --set-mark 2
iptables -t mangle -A select_prov -m statistic --mode random --probability 0.5 -j RETURN
iptables -t mangle -A select_prov -j CONNMARK --set-mark 3

iptables -t mangle -N sort_connect
iptables -t mangle -A sort_connect -o lo -j RETURN
iptables -t mangle -A sort_connect -o eth3 -j RETURN
iptables -t mangle -A sort_connect -o eth4 -j RETURN
iptables -t mangle -A sort_connect -m conntrack --ctstate NEW -j select_prov
iptables -t mangle -A sort_connect -j CONNMARK --restore-mark

iptables -t mangle -I OUTPUT -j sort_connect
iptables -t mangle -I FORWARD -j sort_connect

Но почему-то метки по таблицам не идут( идут строго по дефолту. Правила iptables добавляются без ошибок. Как проверить где именно заминка?
Если вызывать цепочки из PREROUTING то все ок

[koshev]

Очевидно, просто нет условий, по которым пакеты из mangle попадали бы в кастомные цепочки.
Сиотрите у Вас есть правило
iptables -t mangle -N bind_connect
Как вы думаете по каким критериям пакеты попадут в эту цепочку?

[fet4]

Очевидно из iptables -t mangle -I INPUT -m conntrack --ctstate NEW -j bind_connect

Меня интересует почему если указать iptables -t mangle -I FORWARD -j sort_connect, то правила маршрутизации по меткам  не обрабатывают сами метки. А если iptables -t mangle -I PREROUTING -j sort_connect то обрабатываются и трафик заворачивается куда надо, но исходящий трафик то не проходит PREROUTING. Разве в цепочке FORWARD уже они принято решение куда идти дальше пакетам?

[koshev]

Разве в цепочке FORWARD уже они принято решение куда идти дальше пакетам?

Как ни странно, да. Пакеты из INPUT и FORWARD таблицы mangle уже побывали в таблицах маршрутизации.

(Нажмите, чтобы показать/скрыть)

[fet4]

Да уж, хотя пример взят из документации по iptables, наверно ошиблись сами. Хотя может в новых версиях че и поменялось.

[AnrDaemon]

Я предпочитаю http://www.docum.org/docum.org/kptd/
По крайней мере, она лучше соотносится с работой собственно фильтрации, не включая такие абстрактные вещи, как "локальная боработка", к фильтрации никак не относящиеся.
Хотя, при всём уважении к диаграмме, она НЕВЕРНА. Современный netfilter работает по более сложной схеме с бОльшим количеством возвратов и переобработок. Если у вас что-то не получается при настройке шейпинга или VLAN, есть смысл обратиться к более подробной карте прохождения пакетов.