Выбор шлюза в зависимости от порта назначения

[badfiles]

Собственно, как организовать такой функционал? Тема наверняка обсуждалась, просто не знаю какие еще ключевые слова подобрать, выдает всякий мусор....

Поясню задачу. Есть 2 интерфейса, с каждого виден шлюз. Оба шлюза смотрят во внешнюю сеть (интернет).
Как сделать, чтобы на ip 1.2.3.4:80 соединение пошло через один шлюз, а на 1.2.3.4:25 через другой?

[AnrDaemon]

Тривиально. Это даже в мане есть.

[badfiles]

А можно это по-русски написать, в виде алгоритма, как должен происходить выбор?

[Mam(O)n]

Ну не сказал бы, что тривиально, и не по-русски, но хорошо и доступно обрисовывается эта тема здесь. Сам не пробовал.Так, пища для размышлений.

[badfiles]

Я в этом не могу разобраться потому что не понимаю логики. В сети объяснений нет никаких. Я хочу, чтобы человек, который понимает, как это работает, мне по-человечески объяснил. Все эти howto про каких-то коней в вакууме. Эта тема далеко не тривиальная.

upd. просто искал не то что нужно оказывается

[Mam(O)n]

Кстати, вот подходящая темка.

[badfiles]

Вобщем, почитал теорию, посмотрел реазизации, а также перечитал iptables и понял, что все это относится к транзитным патетам.
Мне же нужно, кроме них, применять routing decision и к локальным пакетам. На эту тему есть какие-то соображения?

[Mam(O)n]

Ну тогда наверное нужно помечать пакеты в таблице mangle не только в цепочке PREROUTING а и в OUTPUT.

[badfiles]

Выходит, здесь http://www.opennet.ru/docs/RUS/iptables/ неправильная схема? Тут  routing decision сразу после local process
Или я неправильно понял, что такое routing decision?
Есть предположение, что local process должен уметь сам выбирать outgoing ip, а по нему решет правило типа  ip rule add from $IP table $table

[Mam(O)n]

IPTABLES(                     iptables 1.4.4                     IPTABLES(

NAME
       iptables - administration tool for IPv4 packet filtering and NAT
...
              mangle:
                  This table is used for specialized packet alteration.  Until
                  kernel 2.4.17 it had two built-in  chains:  PREROUTING  (for
                  altering  incoming  packets  before routing) and OUTPUT (for
                  altering locally-generated packets before  routing).   Since
                  kernel  2.4.18,  three  other  built-in chains are also sup‐
                  ported: INPUT (for packets coming into the box itself), FOR‐
                  WARD  (for  altering  packets being routed through the box),
                  and POSTROUTING (for altering packets as they are  about  to
                  go out).

(Нажмите, чтобы показать/скрыть)

[badfiles]

Ну, эта схема принципиально отличается от той, на которую я ссылался в №8

[AnrDaemon]

С какого перепугу она отличается?

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

                            Network
                    -----------+-----------
                               |
                               |
                     +---------+---------+
                     |      IPTABLES     |
                     |     PREROUTING    |
                     | +-------+-------+ |
                     | |   conntrack   | |
                     | +-------+-------+ |
                     | |    mangle     | | <- MARK WRITE
                     | +-------+-------+ |
                     | |      IMQ      | |
                     | +-------+-------+ |
                     | |      nat      | | <- DEST REWRITE
                     | +-------+-------+ |     DNAT or REDIRECT or DE-MASQUERADE
                     +---------+---------+
                               |
                               |
                       +-------+-------+
                       |      QOS      |
                       |    INGRESS    |
                       +-------+-------+
                               |
         packet is for +-------+-------+ packet is for
          this machine |     INPUT     | another address
        +--------------+    ROUTING    +--------------+
        |              |    + PDBB     |              |
        |              +---------------+              |
+-------+-------+                                     |
|   IPTABLES    |                                     |
|     INPUT     |                                     |
| +-----+-----+ |                                     |
| |   mangle  | |                                     |
| +-----+-----+ |                                     |
| |   filter  | |                                     |
| +-----+-----+ |                                     |
+-------+-------+                                     |
        |                                             |
+-------+-------+                                     |
|     Local     |                             +-------+-------+
|    Process    |                             |    IPTABLES   |
+-------+-------+                             |    FORWARD    |
        |                                     | +-----+-----+ |
+-------+-------+                             | |  mangle   | | <- MARK WRITE
|    OUTPUT     |                             | +-----+-----+ |
|    ROUTING    |                             | |  filter   | |
+-------+-------+                             | +-----+-----+ |
        |                                     +-------+-------+
+-------+-------+                                     |
|    IPTABLES   |                                     |
|     OUTPUT    |                                     |
| +-----------+ |                                     |
| | conntrack | |                                     |
| +-----+-----+ |                                     |
| |   mangle  | | <- MARK WRITE                       |
| +-----+-----+ |                                     |
| |    nat    | | <-DEST REWRITE                      |
| +-----+-----+ |     DNAT or REDIRECT                |
| |   filter  | |                                     |
| +-----+-----+ |                                     |
+-------+-------+                                     |
        |                                             |
        +----------------------+----------------------+
                               |
                               |
                     +---------+---------+
                     |      IPTABLES     |
                     |    POSTROUTING    |
                     | +-------+-------+ |
                     | |    mangle     | | <- MARK WRITE
                     | +-------+-------+ |
                     | |      nat      | | <- SOURCE REWRITE
                     | +-------+-------+ |      SNAT or MASQUERADE
                     | |      IMQ      | |
                     | +-------+-------+ |
                     +---------+---------+
                               |
                        +------+------+
                        |     QOS     |
                        |    EGRESS   |
                        +------+------+
                               |
                    -----------+-----------
                            Network

Сравнивай...

[badfiles]

Ну ёлы-палы, что после local process в первой и во второй схемах?

[AnrDaemon]

Local process = user program.

[badfiles]

AnrDaemon, Вы и правда думаете, что я ЭТО не понял, и в ЭТОМ вижу разницу в схемах?

В целом, в теорию в въехал. Надо
 
1. создать другие таблицы маршрутизации.
2. задать правила попадания пакетов в эти таблицы (это может быть метка фаервола или исходящий ip)
3. пометить нужные пакеты фаером.
4. устроить маскарад или s-nat в зависимости от того, динамический или статический внешний ip.

Поскольку стояла задача запустить только избранный трафик на другой шлюз, то я думаю можно ограничиться одной таблицей, кроме main.
Осталось реализовать на практике...