Маршрутизация. Что и как(mini-HOWTO).

[Степан-21]

Вот это сработало:

dhclient eth0
ip r c default dev ppp0

Как сделать, чтобы после перезагрузки эти команды не приходилось заново вводить?

[fisher74]

Ыы... человек даже название рекомендуемой статьи не может осознать...
Впм намекают, что это глюк NM и самый правильный способ с ним бороться - это отказаться от него использования в пользу настройки сети конфиг-файлами. Правда, если это не стационарный комп,  то это решение не лучшее

[koshev]

это глюк NM

Прикол в том, что это не глюк.  Несущий PPPoE интерфейс деконфигурируется сознательно.

[Степан-21]

Добавил в rc.local в таком виде:

sudo dhclient eth0
sudo ip r c default dev ppp0

[AnrDaemon]

Добавил в rc.local в таком виде:

sudo dhclient eth0
sudo ip r c default dev ppp0

Смешной человек. Посмотрим, как это поможет при падении интерфейса во время работы. Будешь перезагружаться при каждом обрыве?

[Степан-21]

А как правильно сделать? И пока не падало ни разу.

[AnrDaemon]

А как правильно сделать? И пока не падало ни разу.

"Сделайте вот так" - "неее, идите нафиг, как сделать это?"
Вы вообще ответы в топике читаете, или писать сюда пришли?

[koshev]

Вот так... Теперь я прошу помощи. Ситуёвина следующая:
Есть домашний шлюз с двумя WAN (назовём их условно ISP1 и ISP2), на нём - почтовый сервер.
ISP1 - PPPoE (table konsul, mark - 0x3)
ISP2 - IPoE (table comlan, mark - 0x2)
Требуется: пустить почтовый траффик строго через провайдера ISP2.

(Нажмите, чтобы показать/скрыть)

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

0:      from all lookup local
32760:  from 192.168.10.1 lookup comlan
32761:  from 31.130.39.2 lookup comlan
32762:  from 213.141.136.40/29 lookup konsul
32763:  from 176.195.37.248 lookup konsul
32764:  from all fwmark 0x3 lookup konsul
32765:  from all fwmark 0x2 lookup comlan
32766:  from all lookup main
32767:  from all lookup default

(Нажмите, чтобы показать/скрыть)

table main

Код: (text) [Выделить]

10.112.1.1 via 31.130.39.1 dev vlan3  proto bird
10.112.2.1 via 31.130.39.1 dev vlan3  proto bird
10.155.1.66 via 31.130.39.1 dev vlan3  proto bird
31.130.39.0/24 dev vlan3  proto kernel  scope link  src 31.130.39.2
192.168.10.0/24 dev vlan6  proto kernel  scope link  src 192.168.10.1
192.168.100.0/27 dev vlan5  proto kernel  scope link  src 192.168.100.1
192.168.255.0/24 dev nat64  scope link
212.1.254.122 dev ppp0  proto kernel  scope link  src 176.195.37.248
213.141.136.40/29 dev vlan7  proto kernel  scope link  src 213.141.136.41table default

Код: (text) [Выделить]

default  proto bird
        nexthop via 31.130.39.1  dev vlan3 weight 40
        nexthop via 212.1.254.122  dev ppp0 weight 30table konsul (ISP1)

Код: (text) [Выделить]

default dev ppp0  proto bird
192.168.10.0/24 dev vlan6  proto bird
192.168.100.0/27 dev vlan5  proto bird
213.141.136.40/29 dev vlan7  proto birdtable comlan (ISP2)

Код: (text) [Выделить]

default via 31.130.39.1 dev vlan3  proto bird
192.168.10.0/24 dev vlan6  proto bird
192.168.100.0/27 dev vlan5  proto bird
213.141.136.40/29 dev vlan7  proto bird

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

# Generated by iptables-save v1.4.4 on Sat Jul 21 20:06:54 2012
*mangle
:PREROUTING ACCEPT [7464582:2029214131]
:INPUT ACCEPT [6184014:936997241]
:FORWARD ACCEPT [1259493:1088420509]
:OUTPUT ACCEPT [8532892:7971498677]
:POSTROUTING ACCEPT [9792430:9060006520]
:MAIL - [0:0]
-A PREROUTING -s 192.168.10.128/26 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -j MARK --set-xmark 0x2/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 128.140.160.0/21 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 109.170.0.0/17 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 176.77.0.0/17 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 128.204.0.0/17 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 109.75.240.0/20 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 95.182.0.0/18 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 79.111.0.0/16 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 79.120.0.0/17 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 89.20.128.0/19 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 95.220.0.0/15 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 212.1.224.0/19 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 213.141.128.0/19 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 46.72.0.0/15 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 176.192.0.0/14 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 89.20.128.0/19 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 91.205.168.0/22 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 87.236.24.0/21 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 85.159.40.0/21 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 93.191.72.0/21 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 217.112.0.0/20 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 78.41.96.0/21 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 80.90.112.0/20 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.192/26 -d 80.68.64.0/20 -j MARK --set-xmark 0x3/0xffffffff
-A PREROUTING -s 192.168.10.128/26 -d 10.0.0.0/8 -j MARK --set-xmark 0x2/0xffffffff
-A PREROUTING -s 192.168.10.128/26 -d 172.16.0.0/12 -j MARK --set-xmark 0x2/0xffffffff
-A PREROUTING -s 192.168.10.128/26 -d 213.109.16.0/20 -j MARK --set-xmark 0x2/0xffffffff
-A PREROUTING -s 192.168.10.128/26 -d 31.130.32.0/19 -j MARK --set-xmark 0x2/0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -p tcp -m multiport --dports 25,110,143,465,587,993 -j MAIL
-A MAIL -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sat Jul 21 20:06:54 2012

В итоге траффик идёт согласно load-balance в таблице маршрутизации default: 30 пакетов через ISP1, 40 - через ISP2.
Скажите, где я дурак?

[AnrDaemon]

А точно должно быть set-xmark ?
И, это... У меня, правда, по другому поводу, работает такая каракатица:

(Нажмите, чтобы показать/скрыть)

*mangle
:PREROUTING ACCEPT [11606763:7229687294]
:INPUT ACCEPT [12311049:7644690525]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9025272:6567507806]
:POSTROUTING ACCEPT [9031460:6569025296]
:ADSL - [0:0]
:DEFAULT - [0:0]
:VPN - [0:0]
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -s ! 192.168.1.0/255.255.255.240 -m conntrack --ctstate NEW,RELATED -m mac --mac-source 1C:7E:E5:D1:83:3A -j VPN
-A PREROUTING -s ! 192.168.1.0/255.255.255.240 -m conntrack --ctstate NEW,RELATED -m mac --mac-source 1C:7E:E5:AB:64:B4 -j ADSL
-A PREROUTING -j CONNMARK --restore-mark
-A OUTPUT -j CONNMARK --restore-mark
-A OUTPUT -d ! 192.168.0.0/255.255.0.0 -o ! lo -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1493:1500 -j TCPMSS --set-mss 1492
-A ADSL -j CONNMARK --set-mark 0x2
-A DEFAULT -j VPN
-A VPN -j CONNMARK --set-mark 0x1
COMMIT

[koshev]

Если ты имеешь ввиду заменить на --set-mark, то в скрипте, контолирующем состояние соединений, оно и так --set-mark.

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

# Variables for dual-wan balancing script

nbnnet=$(cat /etc/network/nbn.net)
iftt=vlan3
gwtt=31.130.39.1
ttnet=$(cat /etc/network/tt.net)
nettt="192.168.10.128/26"
netnbn="192.168.10.192/26"
net29="213.141.136.40/29"
marktt="0x2"
marknbn="0x3"
mark29="0x4"


# Functions

markfunc() {
  iptables -t mangle -A PREROUTING -s $nettt -j MARK --set-mark $marknbn
  iptables -t mangle -A PREROUTING -s $netnbn -j MARK --set-mark $marktt
  for nbnadd in $nbnnet; do
    iptables -t mangle -A PREROUTING -s $netnbn -d $nbnadd -j MARK --set-mark $marknbn
  done
  for ttadd in $ttnet; do
    iptables -t mangle -A PREROUTING -s $nettt -d $ttadd -j  MARK --set-mark $marktt
  done
  ip rule add fwmark $marktt t comlan
  ip rule add fwmark $marknbn t konsul
}

unmarkfunc() {
  iptables -t mangle -F PREROUTING
  ip rule del fwmark $marktt t comlan
  ip rule del fwmark $marknbn t konsul
  ip rule del fwmark 0x3 t comlan
}


# Comlan routing. Table comlan.
comlanrt() {
  ip rule add from $(ifconfig vlan3 | awk -F ":"  '/inet addr/{split($2,a," ");print a[1]}') table comlan
}

# Konsul routing. Table konsul.
konsulrt() {
  ip rule add from $(ip a |grep ppp0 |tail -1 | awk '{print $2}') table konsul
  ip rule add from 213.141.136.40/29 t konsul
}

# Flushing route tables
flushtbl() {
  ip r f t comlan
  ip r f t konsul
  ip r f cache
  ip rule del table konsul
  ip rule del table konsul
  ip rule del table comlan
  ip rule del table comlan
}
# Mail route tt.degunino
mail_on() {
  ip rule add from 192.168.10.1 lookup comlan
  iptables -t mangle -I OUTPUT 1 -p tcp -m multiport --dports 25,110,143,465,587,993 -j MAIL
  iptables -t mangle -A MAIL -j MARK --set-mark $marktt
}

mail_off() {
  ip rule del from 192.168.10.1 lookup comlan
  iptables -t mangle -D OUTPUT -p tcp -m multiport --dports 25,110,143,465,587,993 -j MAIL
  iptables -t mangle -F MAIL
}


Почему iptables-save отдаёт именно xmark, интересно, спасибо, что обратил внимание. Версия iptables выше.
Хотя, в принципе, отличие mark от xmark, следующее: грубо говоря mark всегда ставит метку в пакете, даже если он был помечен раннее, а xmark смотрит, есть ли уже метка, если нет - метит, если уже есть - метку не ставит.
Пользователь решил продолжить мысль 21 Июля 2012, 20:44:11:Хм, у тебя CONNMARK, попробуем с ним.
Пользователь решил продолжить мысль 21 Июля 2012, 21:06:42:Похоже, что с CONNMARK заработало. Будем еще посмотреть..
Пользователь решил продолжить мысль 21 Июля 2012, 21:27:58:Нет, то же самое. В общем актуально.

[AnrDaemon]

Так у тебя как раз и есть. Пакеты метятся до того, как попадут в MAIL.

[Степан-21]

Народ, в какой файл можно добавить команды, чтобы они автоматически выполнялись после выхода из ждущего режима?

[AnrDaemon]

Смотря чем управляется сеть.

[Степан-21]

В смысле?

[koshev]

Так у тебя как раз и есть. Пакеты метятся до того, как попадут в MAIL.

Погоди, как?
Они маркируются с сетей отправки 192.168.10.128/26 и 192.168.10.192/26, и на сети назначения, вот тут я согласен.
Но! Грубо говоря мне надо было исходящий трафик с комбайна метить по портам назначения и его заворачивать в таблицу ISP2. Т.е. мне нужна цепочка OUTPUT таблицы mangle. Я правильно понимаю?
Более того, взаимодействовал с сети 213.141.136.40/29 - результат тот же.
Впрочем пока решил костылём (или наоборот, это и есть решение) - балансировкой в сторону ISP2.