Внимание Конкурс ! знатокам iproute iptablesи т.д.

[demarco]

Есть конкретная задача, хотелось бы устроить конкурс спризом!
Нужны знатоки таких жутких вещей как iproute2 iptables

объявляю приз 500р. для знатока, решение вопроса на 2 минуты!

пишите в личку опишу задачу в этой ветке,в мыло, или как угодно!

побеждает первый кто пришлет верное решение!

ИТАК!

есть роутер! в нем 3 сетевых карты!

eth0 192.168.0.221 это локалка
eth1 192.168.2.2 эта смотрит в сторону адсл модема (192.168.2.1) на провайдера 1
eth2 192.168.1.1 эта смотрит в сторону адсл модема (192.168.1.1) на провайдера 2

на самом роутере крутится 8.04 Server, тут же поднято ftp(proftpd), mysql, apache

интернет организован так:
есть пров1, есть пров2, есть в зоне прова2 еще 1 роутер который находится дома, на нем поднят vpn сервер.
т.е. с нашего роутера (он же vnp client) устанавливается vpn соединение на домашний роутер (vpn сервер) и путем манипуляций с iptables у всех в локалке повяляется инет

теперь что не так!
- до того как был поднят опенвпн, все работало через Squid (ну да хрен с ним)
на роутере, как я сказал поднят Proftpd, и он должен работать через любого прова - это РАЗ!
- внутри локальной сети существует Windows Server 2008R2, на нем крутится sharepoint, mssql, свой ftp, iis7, значит должен быть проброс с обоих провайдеров внутрь локальной сети к этим серверам - это ДВА!
- инет должен ходить через домашний роутер (через впн или еще как нибудь, но весь инет (т.е. ftp аська и прочая хрень, а не
только http))

Вот как работало раньше!

ip route add 192.168.2.0/24 src 192.168.2.2 dev eth1 table inet1
ip route add default via 192.168.2.1 dev eth1 table inet1
ip rule add from 192.168.2.2 table inet1
ip rule add fwmark 2 table inet1

ip route add 192.168.1.0/24 src 192.168.1.2 dev eth2 table inet2
ip route add default via 192.168.1.1 dev eth2 table inet2
ip rule add from 192.168.1.2 table inet2
ip rule add fwmark 3 table inet2
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet1
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet2
ip route add 89.239.a.a via 192.168.2.1 dev eth1 # dns прова 1
ip route add 89.250.b.b via 192.168.1.1 dev eth2  # dns прова 2
ip route flush cache
iptables -A PREROUTING -i eth1 -t mangle -j MARK --set-mark 2
iptables -A PREROUTING -i eth2 -t mangle -j MARK --set-mark 3
iptables -A PREROUTING -i eth0 -t mangle -j MARK --set-mark 2
#это было сделано для внутреннего фтп на 2008 сервере
iptables -A PREROUTING -i eth0 -s 192.168.0.11 -d ! 192.168.0.0/24 -p tcp -m tcp --sports 20:21 -t mangle -j MARK --set-mark 2
iptables -A PREROUTING -i eth0 -s 192.168.0.11 -d ! 192.168.0.0/24 -p tcp -m tcp --sports 49152:65534 -t mangle -j MARK --set-mark 2
#это маркировка в зависимости от того какой днс на клиентской машине, если у человека днс1 то его инет идет через первого прова, если днс2 то через второго
iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 89.250.a.a -t mangle -j MARK --set-mark 3
iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 89.239.b.b -t mangle -j MARK --set-mark 2
iptables -A OUTPUT -t mangle -d ! 192.168.0.0/24 -j MARK --set-mark 2
#это для того что бы весь трафик сквида шел через прова2
iptables -A OUTPUT -t mangle -d ! 192.168.0.0/24 -p tcp --dport 3128 -j MARK --set-mark 3
iptables -A OUTPUT -t mangle -d 89.250.а.а -j MARK --set-mark 3
iptables -A OUTPUT -t mangle -d 89.239.b.b -j MARK --set-mark 2
#iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp -m tcp --dport 3128 -t mangle -j MARK --set-mark 3
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE


проброс портов выполнен вот в таком плане
#80
#iptables -t nat -A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.11:80
#iptables -t nat -A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.2.2

повторюсь, все работало до тех пор пока не подняли впн.
теперь после того как подняли, что бы работал инет пришлось урезать вот до такого

route add -host 89.250.х.х gw 192.168.1.1 dev eth2 #делаем роут до домашнего роутера
route del default gw 192.168.1.1 dev eth2 №собственно убиваем дефолтоут
route add default gw 192.168.254.6 dev tun0 metric 0 #ставим новый дефолтроут на впн

ip route add 192.168.2.0/24 src 192.168.2.2 dev eth1 table inet1
ip route add default via 192.168.2.1 dev eth1 table inet1
ip rule add from 192.168.2.2 table inet1
#ip rule add fwmark 2 table inet1

ip route add 192.168.1.0/24 src 192.168.1.2 dev eth2 table inet2
ip route add default via 192.168.1.1 dev eth2 table inet2
ip rule add from 192.168.1.2 table inet2
#ip rule add fwmark 3 table inet2

ip route add 192.168.254.0/24 src 192.168.254.6 dev tun0 table inet3
ip route add default via 192.168.254.6 dev tun0 table inet3
ip rule add from 192.168.254.6 table inet3
#ip rule add fwmark 4 table inet3
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet1
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet2
#ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet3
ip route add 89.239.a.a via 192.168.2.1 dev eth1
ip route add 89.250.b.b via 192.168.1.1 dev eth2
ip route flush cache

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE

после всех этих действий есть инет через впн, можно пинговать со всех провайдеров, ftp работает только на роутере,
не работает ни один проброс! (это критично)

причем tcpdump показывает что пакеты вроде как приходят и вроде как уходят, (ну например когда по рдп коннект идет) но ничего не происходит!

мозги кипят:) вроде понятно что все просто, но уже не понятно где именно:)
поэтому и прошу помощи задавайте вопросы, выложу конфиги какие надо





 

[Гарри Кашпировский]

Ну так и пиши условия, чего по личкам ныкаться?

[RustemNur]

верное решение!

Верность кто будет определять?
Даже, скажем, степень верности?

[demarco]

верное решение!

Верность кто будет определять?
Даже, скажем, степень верности?

Я буду определять ! Если все заработает значит верно! если нет значит не верно! там просто запутанная схема!

[AnrDaemon]

Ну так пиши, распутаем. (95% что запутаны у тебя мозги.)

[demarco]

Ну так пиши, распутаем. (95% что запутаны у тебя мозги.)

согласен! потому уже от безисходности сюда и пишу

[AnrDaemon]

Медленно пишешь. За это время можно было проблему три раза расписать, с картинками.

[demarco]

Медленно пишешь. За это время можно было проблему три раза расписать, с картинками.

мне еще и работать приходится в это время:)
описание задачи в первом посте!
Пользователь решил продолжить мысль 13 Июля 2010, 07:49:55:что то нет вариантов ни у кого?
AnrDaemon, ты как? подскажи хоть что-нибудь.

Хм! Что то поутихли все разом! неужели никто не может помочь

[Mam(O)n]

1. Давай по факту. Читать выдержки иницализационных скриптов не удобно:
    а) sudo iptables-save
    б) ifconfig -a
    в) ip route
    г) ip rule
    д) ip route show table inet1
    е) ip route show table inet2

зы.

(Нажмите, чтобы показать/скрыть)

!!!

[demarco]

а) iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.3.8 on Fri Jul 16 15:29:20 2010
*nat
:PREROUTING ACCEPT [408124:24678466]
:POSTROUTING ACCEPT [170218:10485704]
:OUTPUT ACCEPT [170217:10485633]
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 2112 -j DNAT --to-destination 192.168.0.11:21
-A PREROUTING -d 192.168.1.2 -p tcp -m tcp --dport 2112 -j DNAT --to-destination 192.168.0.11:21
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 1433 -j DNAT --to-destination 192.168.0.11:1433
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 1434 -j DNAT --to-destination 192.168.0.11:1434
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.0.11:80
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 5800 -j DNAT --to-destination 192.168.0.51:5800
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.51:5900
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389
-A PREROUTING -d 192.168.1.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 26070 -j DNAT --to-destination 192.168.0.11:26070
-A PREROUTING -d 192.168.2.2 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.11:80
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth2 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o tun0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 1433 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 1434 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.51 -p tcp -m tcp --dport 5800 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.51 -p tcp -m tcp --dport 5900 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 26070 -j SNAT --to-source 192.168.2.2
-A POSTROUTING -d 192.168.0.11 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.2.2
COMMIT
# Completed on Fri Jul 16 15:29:20 2010
# Generated by iptables-save v1.3.8 on Fri Jul 16 15:29:20 2010
*filter
:INPUT ACCEPT [12385684:8635108606]
:FORWARD ACCEPT [2861196:1198654233]
:OUTPUT ACCEPT [14152439:8971897660]
COMMIT
# Completed on Fri Jul 16 15:29:20 2010

б) ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:1e:58:aa:d7:0d
          inet addr:192.168.0.221  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:58ff:feaa:d70d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6209944 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8716922 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1392962175 (1.2 GB)  TX bytes:4254958203 (3.9 GB)
          Interrupt:20 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:1d:0f:c9:95:32
          inet addr:192.168.2.2  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:fff:fec9:9532/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11239 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10385 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1154649 (1.1 MB)  TX bytes:1874651 (1.7 MB)
          Interrupt:21 Base address:0xa000

eth2      Link encap:Ethernet  HWaddr 00:1d:0f:c3:f0:6e
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:fff:fec3:f06e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7799817 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7014176 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3522390224 (3.2 GB)  TX bytes:1534296527 (1.4 GB)
          Interrupt:22 Base address:0xa400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:741 errors:0 dropped:0 overruns:0 frame:0
          TX packets:741 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:46615 (45.5 KB)  TX bytes:46615 (45.5 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.254.6  P-t-P:192.168.254.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1449694 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1335716 errors:0 dropped:5767 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:867308918 (827.1 MB)  TX bytes:320989523 (306.1 MB)

в) ip route

(Нажмите, чтобы показать/скрыть)

89.239.139.131 via 192.168.2.1 dev eth1
192.168.254.5 dev tun0  proto kernel  scope link  src 192.168.254.6
89.250.166.73 via 192.168.1.1 dev eth2
192.168.254.1 via 192.168.254.5 dev tun0
89.250.160.1 via 192.168.1.1 dev eth2
192.168.2.0/24 dev eth1  proto kernel  scope link  src 192.168.2.2
192.168.1.0/24 dev eth2  proto kernel  scope link  src 192.168.1.2
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.221
default via 192.168.254.6 dev tun0  scope link

г) ip rule

(Нажмите, чтобы показать/скрыть)

ip rule
0:      from all lookup local
32763:  from 192.168.254.6 lookup inet3
32764:  from 192.168.1.2 lookup inet2
32765:  from 192.168.2.2 lookup inet1
32766:  from all lookup main
32767:  from all lookup default

д)ip route show table inet1
 

(Нажмите, чтобы показать/скрыть)

192.168.2.0/24 dev eth1  scope link  src 192.168.2.2
192.168.0.0/24 dev eth0  scope link  src 192.168.0.221
default via 192.168.2.1 dev eth1

е) ip route show table inet2

(Нажмите, чтобы показать/скрыть)

192.168.1.0/24 dev eth2  scope link  src 192.168.1.2
192.168.0.0/24 dev eth0  scope link  src 192.168.0.221
default via 192.168.1.1 dev eth2

ж) iptables -L -vnt mangle

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

заодно уж и нат
з) iptables -L -vnt nat

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT 416K packets, 25M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:2112 to:192.168.0.11:21
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.2         tcp dpt:2112 to:192.168.0.11:21
   13   640 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:1433 to:192.168.0.11:1433
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:1434 to:192.168.0.11:1434
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:8888 to:192.168.0.11:80
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:5800 to:192.168.0.51:5800
    1    48 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:5900 to:192.168.0.51:5900
    5   244 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:3389 to:192.168.0.11:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.2         tcp dpt:3389 to:192.168.0.11:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:26070 to:192.168.0.11:26070
    1    60 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.2.2         tcp dpt:8080 to:192.168.0.11:80

Chain POSTROUTING (policy ACCEPT 174K packets, 11M bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   160 MASQUERADE  all  --  *      eth1    192.168.0.0/24       0.0.0.0/0
31251 2064K MASQUERADE  all  --  *      eth2    192.168.0.0/24       0.0.0.0/0
75342 5765K MASQUERADE  all  --  *      tun0    192.168.0.0/24       0.0.0.0/0
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:21 to:192.168.2.2
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:21 to:192.168.1.2
   13   640 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:1433 to:192.168.2.2
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:1434 to:192.168.2.2
    1    60 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:80 to:192.168.2.2
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.51        tcp dpt:5800 to:192.168.2.2
    1    48 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.51        tcp dpt:5900 to:192.168.2.2
    5   244 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:3389 to:192.168.2.2
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:3389 to:192.168.1.2
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:26070 to:192.168.2.2
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.11        tcp dpt:80 to:192.168.2.2

Chain OUTPUT (policy ACCEPT 174K packets, 11M bytes)
 pkts bytes target     prot opt in     out     source               destination

и) ip route show table inet3

(Нажмите, чтобы показать/скрыть)

192.168.254.0/24 dev tun0  scope link  src 192.168.254.6
default via 192.168.254.6 dev tun0

[Mam(O)n]

Это весь iptables-save? Я что то не наблюдаю таблицы mangle. Что показывает iptables -L -vnt mangle?
Пользователь решил продолжить мысль 16 Июля 2010, 15:54:41:И да, еще  ip route show table inet3

[Mam(O)n]

У тебя таблица mangle пустая. Гдето косяк в инициализационных скриптах. Каким образом запускается инициализация iptables?

[demarco]

скрипты прописаны в rc.local

первым идет скрипт который прописывает таблицы и т.д. с маркировкой пакетов которая вроде как уже и не нужна

(Нажмите, чтобы показать/скрыть)

ip route add 192.168.2.0/24 src 192.168.2.2 dev eth1 table inet1
ip route add default via 192.168.2.1 dev eth1 table inet1
ip rule add from 192.168.2.2 table inet1
ip rule add fwmark 2 table inet1

ip route add 192.168.1.0/24 src 192.168.1.2 dev eth2 table inet2
ip route add default via 192.168.1.1 dev eth2 table inet2
ip rule add from 192.168.1.2 table inet2
ip rule add fwmark 3 table inet2
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet1
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.221 table inet2
ip route add 89.239.a.a via 192.168.2.1 dev eth1 # dns прова 1
ip route add 89.250.b.b via 192.168.1.1 dev eth2  # dns прова 2
ip route flush cache
iptables -A PREROUTING -i eth1 -t mangle -j MARK --set-mark 2
iptables -A PREROUTING -i eth2 -t mangle -j MARK --set-mark 3
iptables -A PREROUTING -i eth0 -t mangle -j MARK --set-mark 2
#это было сделано для внутреннего фтп на 2008 сервере
iptables -A PREROUTING -i eth0 -s 192.168.0.11 -d ! 192.168.0.0/24 -p tcp -m tcp --sports 20:21 -t mangle -j MARK --set-mark 2
iptables -A PREROUTING -i eth0 -s 192.168.0.11 -d ! 192.168.0.0/24 -p tcp -m tcp --sports 49152:65534 -t mangle -j MARK --set-mark 2
#это маркировка в зависимости от того какой днс на клиентской машине, если у человека днс1 то его инет идет через первого прова, если днс2 то через второго
iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 89.250.a.a -t mangle -j MARK --set-mark 3
iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 89.239.b.b -t mangle -j MARK --set-mark 2
iptables -A OUTPUT -t mangle -d ! 192.168.0.0/24 -j MARK --set-mark 2
#это для того что бы весь трафик сквида шел через прова2
iptables -A OUTPUT -t mangle -d ! 192.168.0.0/24 -p tcp --dport 3128 -j MARK --set-mark 3
iptables -A OUTPUT -t mangle -d 89.250.а.а -j MARK --set-mark 3
iptables -A OUTPUT -t mangle -d 89.239.b.b -j MARK --set-mark 2
#iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp -m tcp --dport 3128 -t mangle -j MARK --set-mark 3
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE

вторым идет скрипт с правилами iptables т.е. на проброс которые
Пользователь решил продолжить мысль 19 Июля 2010, 15:15:58:это вообще излечимо ? а то у меня уже мысли на фрюхе все переделать с jail'ами! очень хочется именно на убунте все сделать

[Mam(O)n]

У тебя там где-то ошибка. Ты же вольный пересказ даёшь скрипта, я даже и не всматриваюсь в него, т.к. синтаксис важно передать вплоть до мелочей. А ты еще и из rc.local пускаешь и наверняка у тебя в шабанге стоит #!/bin/sh -e, где -e значит, что после неудачного выполнения одной из команд, прекращается выполнение скрипта. В общем лови ошибку. Можешь в начало скрипта запихнуть exec > /var/log/rc.log 2>&1 и ловить ошибку при запуске уже в файле...

[demarco]

А ты еще и из rc.local пускаешь и наверняка у тебя в шабанге стоит #!/bin/sh -e, где -e значит,

робею спросить, а что такое в шабанге?

скрипты  я на эту тему проверял, выполняются от начала до конца, все строки проходят!