Сложный вопрос по iptables

[Bloodmage]

Щас попробую сделать то же самое по этому принципу, только сервер повешу на 0.0.0.0, попробую настроить чтоб он отвечал на запросы и через eth1 и не буду заморачиваться с DNAT-ом и т.п. так будет проще и мне почему-то кажется, что DNAT тут может мешать...
Пользователь решил продолжить мысль 24 Апреля 2011, 02:59:32:Кстати, остальные сервера (и апач, и днс) у меня доступны по обоим аплинкам и без каких либо заморочек с iptables, только при помощи вышеуказаных правил ip route (ip rule)... Но вот игровой сервер... поднял его сейчас на 0.0.0.0, теперь через ppp0 всё норм, т.к. он стоит как default gw, а вот  если отправлю запрос на eth0, то ответ уходит на тот же ip и порт, с того же порта сервера но с ppp0...

[AnrDaemon]

Потому что маркировать надо входящий трафик
Тебе проще, у тебя входящий с разных интерфейсов. Даже не надо с MAC'ами заморачиваться.

[Bloodmage]

аа, так они у тебя на один интерфейс... непростой случай и всё-таки, где у меня неправильно? И вообще, можно ли как-то посмотреть проходят пакеты через нужные цепочки или нет?

[AnrDaemon]

Вот прямо так пакеты, боюсь, нет. Разве что втыкать -j LOG в каждое подозрительное место.
Ключевая точка правил в статье:
-A PREROUTING ! -s 192.168.1.0/28 -m conntrack --ctstate NEW,RELATED -m mac --mac-source 00:1B:11:84:E3:90 -j VPN
-A PREROUTING ! -s 192.168.1.0/28 -m conntrack --ctstate NEW,RELATED -m mac --mac-source 00:D0:D0:61:30:2C -j ADSL

Вот этот каскад заменяешь своими правилами/переходами.
И для каждой марки прописываешь отдельную таблицу со своим дефотным гейтом.
И с масками марок тоже не мудри Запутаешься.

[Bloodmage]

маски iptables-save сам пишет
А вот эти вот дополнительные таблицы типа VPN ADSL обязательно? по-моему мне достаточно 1 марки, второй-то интерфейс дефолтный... так ведь?

[AnrDaemon]

Не обязательно, просто когда через пару лет разбираешь, что к чему, читать внятные слова понятнее, чем голые цифры.
Нет, маркировать надо ВЕСЬ трафик. Дефотный, не дефолтный... Не имеет значения. Иначе распадается схема, и пакеты идут неизвестно куда. (вернее, они-то знают, куда идут, а вот ты - это ещё вопрос...)

[Bloodmage]

а с UDP вот это всё тоже надо?

Код: [Выделить]

m conntrack --ctstate NEW,RELATED
в UDP же соединение как таковое не устанавливается... или я неправильно понимаю эти опции?

[AnrDaemon]

conntrack работает со всеми соединениями, в том числе с мультипротокольными. Но это не важно в данном случае.
Просто надо выстроить схему:
Весь трафик, пришедший с интерфейса "А", уходит через "А" же.
Весь трафик, пришедший с интерфейса "Б", уходит через "Б", же...
Весь новый трафик идёт, куда ему вздумается (читай - через дефолтный гейт или какие там у тебя другие правила маршрутизации в main прописаны)
Да, теоретически, возможно маркировать только один, скажем так, нестандартный трафик, отдавая весь остальной трафик на откуп дефолтным маршрутам. Но. Такую схему не расширить без перепроверки, и не переключить быстро с одного шлюза на другой без полного перепрограммирования.
Так что лучше уж немного поморочиться и раскрасить весь трафик, но уже после того, как он покрашен, сидеть сложа ручки и плевыать в потолок, наблюдая, как всё само бегает.

[Bloodmage]

Сделал вроде как в твоём мануале...

# iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sun Apr 24 10:27:12 2011
*nat
:PREROUTING ACCEPT [32194:3040278]
:OUTPUT ACCEPT [21805:1841547]
:POSTROUTING ACCEPT [17401:693611]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 56790 -j DNAT --to-destination 10.8.0.6
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 6915 -j DNAT --to-destination 10.8.0.6
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 6794 -j DNAT --to-destination 192.168.67.10
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 6112 -j DNAT --to-destination 192.168.67.10
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 55738 -j DNAT --to-destination 192.168.67.12
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 24 10:27:12 2011
# Generated by iptables-save v1.4.4 on Sun Apr 24 10:27:12 2011
*filter
:INPUT ACCEPT [3009482:287539789]
:FORWARD ACCEPT [533380:464966147]
:OUTPUT ACCEPT [1376364:424451712]
-A INPUT -s 193.93.12.0/24 -p udp -m udp --dport 14567 -j DROP
-A INPUT -s 183.76.0.0/15 -p udp -m udp --dport 14567 -j DROP
-A OUTPUT -p udp -m udp --dport 29910 -j DROP
COMMIT
# Completed on Sun Apr 24 10:27:12 2011
# Generated by iptables-save v1.4.4 on Sun Apr 24 10:27:12 2011
*mangle
:PREROUTING ACCEPT [3553986:754359684]
:INPUT ACCEPT [3009468:287538566]
:FORWARD ACCEPT [533370:464965401]
:OUTPUT ACCEPT [1376852:424521067]
:POSTROUTING ACCEPT [1909918:889433656]
:AKADO - [0:0]
:NBN - [0:0]
-A PREROUTING -d 188.123.234.27/32 -j AKADO
-A PREROUTING -i ppp0 -j NBN
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A AKADO -j CONNMARK --set-xmark 0x1/0xffffffff
-A NBN -j CONNMARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sun Apr 24 10:27:12 2011

Код: [Выделить]

# ip rule list
0: from all lookup local
32763: from all fwmark 0x2 lookup main
32764: from all fwmark 0x1 lookup akado
32765: from 188.123.234.27 lookup akado
32766: from all lookup main
32767: from all lookup default
всё равно Wireshark говорит что ответы уходят через дефолтный гейт а не туда откуда пришли...
AKADO это eth1(с сегодняшнего дня eth2) NBN это для ppp0, который также дефолтный

[AnrDaemon]

Ещё раз. Ты привязываешь марку к конкретному гейту.
Для каждой марки отдельную таблицу. С единственной записью дефолтного гейта.
В main у тебя правила маршрутизации по умолчанию для немаркированных пакетов.
И перезагрузи сервер. У меня тоже были проблемы во время настройки, после ребута всё "вдруг" забегало как должно.

Перечитал последний вариант... а не может быть так, что на 188.123.234.27/32 запросы приходят не на eth0 ? (Или там был eth1?)
И попробуй всё-таки добавить в правила определения маркировки
 -m conntrack --ctstate NEW,RELATED

[Bloodmage]

теперь уже на eth2 они приходят - через другую сетевуху пустил ну это неважно, у меня по-моему этот интерфейс нигде не задан по имени, с conntrack попробую, и обязательно ли для марки делать отдельную таблицу если в ней дефолтный шлюз совпадает со шлюзом в main

[AnrDaemon]

Да, обязательно. Третий раз объясняю - дефолтного шлюза на системе может не быть вообще
Ну, просто предположим для простоты, что система не предназначена для общения с внешним миром. Только для приёма и обработки входящих запросов.

[Bloodmage]

Может не быть но он же есть Всегда есть... Вечером попробую всё переделать... Пока торопиться особо некуда, поставил временные костыли в виде TCP/IP прокси stone, пока заметил всего 3 минуса - сервер не видит ip клиента, немножко использует процессорное время ну и третье это костыли а я их не люблю Хочу чтоб как часы работало

[AnrDaemon]

Я догадываюсь, почему у тебя маршрутизация "from IP" не работает.
В момент маршрутизации адрес пакета, исходящего с амого шлюза,  может быть любым. Вплоть до 0.0.0.0.
А уже после роутинга его адрес переписывается SNAT'ом на правильный в соответствии с исходящим интерфейсом.

[Bloodmage]

from ip как раз работает. для всего (bind9, апач, пинги ходят и т.д.) кроме этого кривого сервера. он отправляет пакет не с нужного ip, куда пакет пришёл, как положено, а с 0.0.0.0 и пакеты идут с дефолтного интерфейса. я и хочу сейчас заставить систему направлять их куда надо раз сервер не в состоянии. разработчики видно кривые да и сделан он году в 2003-2004. был бы он открытым - я бы полазил в исходниках, если бы что-то в них понял поменял бы и перекомпилил бы... но ведь нет, он кривой и закрытый...