Настройка 2-х таблиц маршрутизации и маркировка пакетов

[rud.bodya]

Здравстсвуйте! Пытаюсь настроить распределение трафика между двумя каналами в интернет. Пока для наглядности хочу посылать tcp по одному каналу, а udp и icmp - по другому. Маркирую tcp пакеты единицей, а udp и icmp - двойкой:
iptables -t mangle -A OUTPUT -p tcp -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p udp -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark 2
Потом пишу правила для выбора таблицы маршрутизации на основании этих меток:
ip rule add fwmark 1 lookup t1
ip rule add fwmark 2 lookup t2
И, наконец, заполняю сами таблицы:
ip ro add default via 192.168.0.1 table t1
ip ro add default via 192.168.1.1 table t2
Однако связи нет, выдается сообщение Network unreachable
Насколько я понимаю эти правила не подхватываются и дефолт ищется в основной таблице, где его нет...
Очень надеюсь на помощь, так как сил моральных больше нет - все перепробовал и не могу понять в чем проблема...

[fisher74]

ifconfig -a ещё покажите

[rud.bodya]

ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:00:e2:95:d1:c5 
          inet addr:192.168.0.254  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::200:e2ff:fe95:d1c5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21671 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35528 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1605772 (1.6 MB)  TX bytes:14513950 (14.5 MB)

eth1      Link encap:Ethernet  HWaddr 00:26:5a:bf:7e:f8 
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::226:5aff:febf:7ef8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:176 errors:0 dropped:0 overruns:0 frame:0
          TX packets:170 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:14967 (14.9 KB)  TX bytes:11452 (11.4 KB)
          Interrupt:11 Base address:0x6000

irda0     Link encap:IrLAP  HWaddr 00:00:00:00 
          NOARP  MTU:2048  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:8
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:5 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:424 (424.0 B)  TX bytes:424 (424.0 B)

[AnrDaemon]

Вместо того, чтобы гадать, надо смотреть. tcpdump'ом, например. Или wireshark поставьте, если это десктоп.

[rud.bodya]

пробовал tcpdump:
ping google.com
sudo tcpdump -nn -t -v -p -i eth1 udp

(Нажмите, чтобы показать/скрыть)

sudo tcpdump -nn -t -v -p -i eth1 udp
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
IP (tos 0x0, ttl 64, id 57419, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.0.254.46240 > 8.8.8.8.53: 33370+ A? google.com. (28)
IP (tos 0x0, ttl 64, id 57420, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.0.254.46240 > 8.8.8.8.53: 33370+ A? google.com. (28)
IP (tos 0x0, ttl 64, id 59921, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.0.254.35780 > 8.8.8.8.53: 45489+ A? google.com. (28)
IP (tos 0x0, ttl 64, id 59922, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.0.254.35780 > 8.8.8.8.53: 45489+ A? google.com. (28)

не с того интерфейса отправляет...
Пользователь решил продолжить мысль 07 Марта 2012, 18:07:24:Добавил
sudo iptables -t nat -A POSTROUTING -p udp -o eth1 -j SNAT --to 192.168.1.2
sudo iptables -t nat -A POSTROUTING -p icmp -o eth1 -j SNAT --to 192.168.1.2


Теперь:
ping google.com
sudo tcpdump -nn -t -v -p -i eth1 udp

(Нажмите, чтобы показать/скрыть)

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
IP (tos 0x0, ttl 64, id 46733, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.1.2.33098 > 8.8.8.8.53: 63271+ A? google.com. (28)
IP (tos 0x0, ttl 49, id 28482, offset 0, flags [none], proto UDP (17), length 152)
    8.8.8.8.53 > 192.168.1.2.33098: 63271 6/0/0 google.com. A 209.85.148.113, google.com.[|domain]
IP (tos 0x0, ttl 64, id 46734, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.1.2.33098 > 8.8.8.8.53: 63271+ A? google.com. (28)
IP (tos 0x0, ttl 49, id 49854, offset 0, flags [none], proto UDP (17), length 152)
    8.8.8.8.53 > 192.168.1.2.33098: 63271 6/0/0 google.com. A 209.85.148.102, google.com.[|domain]
IP (tos 0x0, ttl 64, id 49235, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.1.2.45658 > 8.8.8.8.53: 53415+ A? google.com. (28)
IP (tos 0x0, ttl 49, id 47661, offset 0, flags [none], proto UDP (17), length 152)
    8.8.8.8.53 > 192.168.1.2.45658: 53415 6/0/0 google.com. A 209.85.148.102, google.com.[|domain]
IP (tos 0x0, ttl 64, id 49236, offset 0, flags [DF], proto UDP (17), length 56)
    192.168.1.2.45658 > 8.8.8.8.53: 53415+ A? google.com. (28)
IP (tos 0x0, ttl 49, id 17715, offset 0, flags [none], proto UDP (17), length 152)
    8.8.8.8.53 > 192.168.1.2.45658: 53415 6/0/0 google.com. A 209.85.148.102, google.com.[|domain]

Какие-то ответы приходят, но адрес все-равно не ресолвится

ping 8.8.8.8.
sudo tcpdump -nn -t -v -p -i eth1 icmp
то

(Нажмите, чтобы показать/скрыть)

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.2 > 8.8.8.8: ICMP echo request, id 49923, seq 1, length 64
IP (tos 0x0, ttl 49, id 24866, offset 0, flags [none], proto ICMP (1), length 84)
    8.8.8.8 > 192.168.1.2: ICMP echo reply, id 49923, seq 1, length 64
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.2 > 8.8.8.8: ICMP echo request, id 49923, seq 2, length 64
IP (tos 0x0, ttl 49, id 12389, offset 0, flags [none], proto ICMP (1), length 84)
    8.8.8.8 > 192.168.1.2: ICMP echo reply, id 49923, seq 2, length 64
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.2 > 8.8.8.8: ICMP echo request, id 49923, seq 3, length 64
IP (tos 0x0, ttl 49, id 24867, offset 0, flags [none], proto ICMP (1), length 84)
    8.8.8.8 > 192.168.1.2: ICMP echo reply, id 49923, seq 3, length 64
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.2 > 8.8.8.8: ICMP echo request, id 49923, seq 4, length 64
IP (tos 0x0, ttl 49, id 5972, offset 0, flags [none], proto ICMP (1), length 84)
    8.8.8.8 > 192.168.1.2: ICMP echo reply, id 49923, seq 4, length 64
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.2 > 8.8.8.8: ICMP echo request, id 49923, seq 5, length 64
IP (tos 0x0, ttl 49, id 12390, offset 0, flags [none], proto ICMP (1), length 84)
    8.8.8.8 > 192.168.1.2: ICMP echo reply, id 49923, seq 5, length 64

и пинга тоже нет

(Нажмите, чтобы показать/скрыть)

ping 8.8.8.8
PING 8.8.8.8 (8.8.8. 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4033ms

[AnrDaemon]

Так у вас ещё и ДНС гугловские прописаны... Свои прописать - никак?
iptables-save показывайте.

[rud.bodya]

Никак, своих днс просто нет:). А что с гугловскими не так?
sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Mar  7 16:11:24 2012
*nat
:PREROUTING ACCEPT [4:991]
:INPUT ACCEPT [4:991]
:OUTPUT ACCEPT [5:364]
:POSTROUTING ACCEPT [1:84]
-A POSTROUTING -o eth1 -p udp -j SNAT --to-source 192.168.1.2
-A POSTROUTING -o eth1 -p icmp -j SNAT --to-source 192.168.1.2
COMMIT
# Completed on Wed Mar  7 16:11:24 2012
# Generated by iptables-save v1.4.4 on Wed Mar  7 16:11:24 2012
*security
:INPUT ACCEPT [1574:123016]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1368:142518]
COMMIT
# Completed on Wed Mar  7 16:11:24 2012
# Generated by iptables-save v1.4.4 on Wed Mar  7 16:11:24 2012
*raw
:PREROUTING ACCEPT [1694:133048]
:OUTPUT ACCEPT [1382:144062]
COMMIT
# Completed on Wed Mar  7 16:11:24 2012
# Generated by iptables-save v1.4.4 on Wed Mar  7 16:11:24 2012
*mangle
:PREROUTING ACCEPT [1704:133568]
:INPUT ACCEPT [1594:124056]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1394:145406]
:POSTROUTING ACCEPT [1394:145406]
-A OUTPUT -p tcp -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -p udp -j MARK --set-xmark 0x2/0xffffffff
-A OUTPUT -p icmp -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Wed Mar  7 16:11:24 2012
# Generated by iptables-save v1.4.4 on Wed Mar  7 16:11:24 2012
*filter
:INPUT ACCEPT [1602:124472]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1406:146814]
COMMIT
# Completed on Wed Mar  7 16:11:24 2012

[AnrDaemon]

Быть такого не может, чтобы своих не было. Интернет от кого-то же получаете? Не напрямую к гуглу подключены, чай.

А проблема очевидная:
http://www.docum.org/docum.org/kptd/
Маршрутизация срабатывает до того, как вы промаркируете пакет.

[fisher74]

Таким образом получается, что маршрутизация с помощью маркирования возможна только для проходящих пакетов и только в цепочке PREROUTING?

Но смотрите как интересно. В статье по балансировке каналов местной wiki используется именно цепочка OUTPUT

iptables -t mangle -A OUTPUT -s $l_net -m state --state new,related -j NEW_OUT_CONN

[rud.bodya]

Судя по этой http://www.docum.org/docum.org/kptd/ ссылке, да... Но ведь в инете дают примеры (по которым я все это делал) именно для исходящих пакетов. И там пишут, что все работает...
вот тут например: http://klinkov.ya.ru/replies.xml?item_no=227

[AnrDaemon]

Таким образом получается, что маршрутизация с помощью маркирования возможна только для проходящих пакетов и только в цепочке PREROUTING?

Я этого не утверждал. Вероятно, наш автор не учёл чего-то ещё.
Например, не создал таблицы маршрутизации.

[fisher74]

Думаю, что "переосмысливание" маршрута происходит на этапе reroute check.
И возможно, это реализовано в ядрах 2.6 (в статье, указанной уважаемым AnrDaemon речь идет о ядрах 2.2-2.4)

[AnrDaemon]

Мило. Мило. Слабо читаемо, но мило. Спасибо за наводку.

[rud.bodya]

таблицы создал:)

[koshev]

Код: [Выделить]

ping google.comman ping же!
Необходимо явно указывать интерфейс, иначе по умолчанию icmp идет через таблицу main, а там как известно ничего нет.
Так же и c traceroute.