Интернет шлюз 3 сетевых адаптера 2 провайдера

[AnrDaemon]

ВСЕ сети, подключённые напрямую к вашему хосту, локальные для этого хоста.
У вас их три (четыре считая local loopback).

[MonoLife]

И где оно это правило, которое "сорит пакетами" в моем последнем логе?
Пользователь добавил сообщение 28 Июля 2016, 08:13:28:н-да.. проспался, не прошло и года, наконец я понял смысл:

Для пакетов ОТ адреса 192.168.0.90 НЕ ДЛЯ сети 192.168.0.0/24 смотреть таблицу "rostele".

тогда нужно завести такое правило? Я, типа пытался

not from 192.168.0.90 to 192.168.0.0/24 lookup rostele

[AnrDaemon]

Вы завели невозможное правило.

[MonoLife]

https://forum.ubuntu.ru/index.php?topic=280024.msg2205574#msg2205574
помогите завести правильно.

[AnrDaemon]

Вот как написано, так и заводите…
Дополните ваши правила "from ..." уточнением "not to <сеть того адреса, что from>", чтобы пакеты в локальную сеть проскакивали до таблицы main мимо ваших кастомных таблиц.

[MonoLife]

Вот как написано, так и заводите…

вот так и завел, результат в ip rule:

Код: [Выделить]

not from 192.168.0.90 to 192.168.0.0/24 lookup rostele
not from 192.168.3.1 to 192.168.3.0/24 lookup enforta

[AnrDaemon]

Показывайте логи с консоли.
Что вы вводите и что выдаёт ip rule show
Бред собачий, а не логика… "У меня та же фигня" (с) анекдот.
Пользователь добавил сообщение 28 Июля 2016, 16:27:59:Ага, я слепой. Бывает.
Тогда можно попробовать посмотреть main до того, как лезть в кастомные правила.
ip rule add to 192.168.0.0/16 table main
Не поможет, там есть деф. гв.
Надо подумать…
Пользователь добавил сообщение 28 Июля 2016, 16:47:11:Вариант вижу только один… Убрать шлюз по умолчанию из main, и просматривать таблицу main перед остальными.
По сути большого смысла в шлюзе по умолчанию в вашей конфигурации и так нету.

[MonoLife]

и просматривать таблицу main перед остальными

каким образом?

По сути большого смысла в шлюзе по умолчанию в вашей конфигурации и так нету.

а как я буду переключать каналы при падении одного из двух? Сейчас рассматривается конфигурация: один рабочий, другой резервный

[AnrDaemon]

и просматривать таблицу main перед остальными

каким образом?

Добавить правило from all lookup main перед (в скрипте - после) вашими правилами.

По сути большого смысла в шлюзе по умолчанию в вашей конфигурации и так нету.

а как я буду переключать каналы при падении одного из двух? Сейчас рассматривается конфигурация: один рабочий, другой резервный

Предположительно, в mangle/PREROUTING или nat/PREROUTING.

[kac]

pfsense для шлюза бомба!!!

[MonoLife]

Добавить правило from all lookup main

я думал оно автоматом добавляется

Предположительно, в mangle/PREROUTING или nat/PREROUTING

ох.. я бился столько времени, казалось бы, с простой задачей, но осилить переключение в iptables.. конец, Света..

[AnrDaemon]

бился столько времени, казалось бы, с простой задачей

Бились вместе… Ответ оказался не там, где искали

А вот как раз переключение в iptables - это тривиально.

nat/PREROUTING:
-s 192.168.2.0/24 ! -d 192.168.2.0/24 -j lanrouting
nat/lanrouting:
-d 192.168.3.0/24 -j RETURN
-d 192.168.0.0/24 -j RETURN
-j myrouting
nat/myrouting:
-j SNAT --to-source какой-там-активный-исходящий-интерфейс

Переключение:
iptables -t nat -F myrouting
iptables -t nat -A -j SNAT --to-source новыйаддресс
 
Надо только убедиться, что оно будет работать, у меня сейчас нет возможности поднимать схему на виртуалках.

[MonoLife]

спасибо..
как я понял эта часть в iptables добавляется статично при загрузке

Код: [Выделить]

nat/PREROUTING:
-s 192.168.2.0/24 ! -d 192.168.2.0/24 -j lanrouting
nat/lanrouting:
-d 192.168.3.0/24 -j RETURN
-d 192.168.0.0/24 -j RETURN
-j myrouting
nat/myrouting:
-j SNAT --to-source какой-там-активный-исходящий-интерфейса эта каждый раз при переключении интерфейсов?

Код: [Выделить]

iptables -t nat -F myrouting
iptables -t nat -A -j SNAT --to-source новыйаддресса как с перенаправлением портов из вне в локалку на сервак?
-A PREROUTING -d 192.168.0.90/32 -p tcp -m tcp --dport <port> -j DNAT --to-destination 192.168.2.2:<port>
-A PREROUTING -d 192.168.3.5/32 -p tcp -m tcp --dport <port> -j DNAT --to-destination 192.168.2.2:<port>
так не пойдёт?
Пользователь добавил сообщение 01 Августа 2016, 05:19:43:kac спасибо, если ничего не получится попробую pfsense

[AnrDaemon]

Перенаправление тут не мешает. Оно совершенно параллельно.

[MonoLife]

ясно, а как с вопросом выше?
и что такое

Код: [Выделить]

-j myrouting ?