IPROUTE2 + 2 провайдера

[badfiles]

Ну ведь работает, я же пакеты запостил.

У меня есть 2 варианта, либо у меня есть какое-то теоретическое недопонимание процесса, либо это баг.

Прошу исключить первый.

[Enkil-404]

Таки всем снова здравствуйте!

Сегодня вышел с больничного и попробовал запустить скрипты, наработанные по данной теме и мануалам.
Результат мне не понравился - прошу помощи в разборе вопроса.

Задача
2 внешних интерфейса на разных провайдеров
1 внутренний инт-с

необходимо разделить траффик следующим образом
80,8080,443,5190 пустить на одного прова
110,25 и остальное - на другого

что было
утром запустил скрипты, скрипт фаера отработал с ошибкой(банально синтаксис), инет и подключение к серваку исчезли. Локально запустил старые скрипты, и до вечера не трогал(до 18-00 низзяяя чтоб инета не было)
Вечером запустил поправленные скрипты, они отработали без ошибок, инет у клиентов был, НО без разделения траффика=(((
невзначай повторил чей-то "умный" шаг

ip route flush table main

сервак еще раз оборвал все подключения и стал недоступен(логично), после этого я тащу сервак к себе и локально запускаю неизмененные скрипты, потом тащу обратно(2 перезагрузки получилось), включаю и о, чудо - инет есть и он идет через нужного прова(80,8080 и 443), но почта не ходит вообще, извне по 2 интерфейсу не подключится ни по ssh ни по vpn(настроены на этот инт-с).
Еще раз проверяю скрипты, ненайдя объяснений проиходящему, перезапускаю их - итог, снова инет через старого прова по всем протоколам(но заработала почта и подключения).

Прошу помощи!!!

таблицы

(Нажмите, чтобы показать/скрыть)

$ cat /etc/iproute2/rt_tables
#
# reserved values
#
255   local
254   main
253   default
0   unspec
#
# local
#
#1   inr.ruhep

10   T1   # это наши таблицы
11   T2   #

фаер

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

echo "preparing iptables firewall..."

# Описываем переменные, используемые в скрипте

IP_LOCAL1="192.168.0.1" # адрес нашего маршрутизатора в локальной сети.
IP_INET1="217.15.26.98" # адрес нашего маршрутизатора в сети Futers.
IP_INET2="192.168.1.3" # адрес нашего марщрутизатора в сети WebPlus.

IF_LOCAL1="eth2" # имя интерфейса на локальную сеть
IF_INET1="eth0" # имя интерфейса на Futers.
IF_INET2="eth3" # имя интерфейса на WebPlus.

NET_LOCAL1="192.168.0.0/24" # локальная сеть.
NET_INET1="217.15.26.0/30" # адрес сети в которой гейт Futers'а
NET_INET2="192.168.1.0/24" # адрес сети в которой гейт WebPlus'а(а точнее Dlink-роутер).

GW_INET1="217.15.26.97" # гейт Futers.
GW_INET2="192.168.1.1" # гейт WebPlus.

UNPRIPORTS="1024:65535" # Номера непривилегированных портов

## Настраиваем iptables(общие правила и параметры)

# Очистка таблиц и цепочек
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table mangle --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain
iptables --table mangle --delete-chain


# Назначение глобальных политик фаервола
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# Загружаем модули, для корректной работы VPN, Active ftp, DCC  которые будут идти через NAT.
modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_conntrack_ftp

## Изменение параметров SYSCTL
# Включение форвардинга
echo 1 > /proc/sys/net/ipv4/ip_forward

# Включение форвардинга для VPN
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

# Увеличение размера очередей
echo 32000000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max

# Время ожидания до закрытия соединения
echo 14400 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

# Время ожидания до посылки FIN пакета
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait

# Время ожидания до посылки FIN пакета
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent

# Для защиты от syn флуда
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Увеличиваем размер backlog очереди
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog

# Число начальных SYN и SYNACK пересылок для TCP соединения
echo 4 > /proc/sys/net/ipv4/tcp_synack_retries

echo 4 > /proc/sys/net/ipv4/tcp_syn_retries

# Сколько секунд ожидать приема FIN до полного закрытия сокета
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Как часто посылать сообщение о поддержании keep alive соединения
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time

# Сколько пакетов проверки keepalive посылать, прежде чем соединение будет закрыто.
echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes
# Зaпрещаем TCP window scaling
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling

# Запрещаем selective acknowledgements, RFC2018
#echo 0 > /proc/sys/net/ipv4/tcp_sack

# Запрещаем TCP timestamps, RFC1323
#echo 0 > /proc/sys/net/ipv4/tcp_timestamps

# Уличиваем размер буфера для приема и отправки данных через сокеты.
echo 1048576 > /proc/sys/net/core/rmem_max
echo 1048576 > /proc/sys/net/core/rmem_default
echo 1048576 > /proc/sys/net/core/wmem_max
echo 1048576 > /proc/sys/net/core/wmem_default

# Через какое время убивать соединение закрытое на нашей стороне
echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries

# Порты NETBIOS :
iptables -A INPUT -p tcp --destination-port 445 -j DROP
iptables -A INPUT -p tcp --destination-port 135 -j DROP
iptables -A INPUT -p udp -m multiport  --ports 135,136,137,138,139 -j DROP
iptables -A INPUT -p tcp -m multiport  --ports 135,136,137,138,139 -j DROP
iptables -A FORWARD -p udp -m multiport  --ports 135,136,137,138,139,445 -j ACCEPT # Разрешаем форвард NetBIOS
iptables -A FORWARD -p tcp -m multiport  --ports 135,136,137,138,139,445 -j ACCEPT # чтобы при включенном vpn работали общие папки

# Блокируем входящие пакеты с локальными IP адресами приходящие на внешние интерфейсы
iptables -A INPUT -p tcp -i $IF_INET1 -s $NET_LOCAL1 -j DROP
iptables -A INPUT -p tcp -i $IF_INET2 -s $NET_LOCAL1 -j DROP
# Блокируем входящие пакеты c нелокальными IP на внутреннем интерфейсе
iptables -A INPUT -p tcp -i $IF_LOCAL1 -s ! $NET_LOCAL1 -j DROP


# Защищаемся от Stealth Scans
# Очищаются все биты
iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# SYN and FIN are both set
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# SYN and RST are both set
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

# FIN and RST are both set
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP

# FIN is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

# PSH is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP

# URG is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

# Разрешаем cups
iptables -A INPUT -i $IF_LOCAL1 -p tcp --dport 631 -j ACCEPT

# закрываем APACHE снаружи и открываем изнутри(все сайты(их несколько - и влом на каждом прописывать Allow From) веб-сервера доступены только из локальной
сети)
iptables -A INPUT -p tcp -i $IF_INET1  -m multiport  --ports 80,8080,443 -j DROP
iptables -A INPUT -p tcp -i $IF_INET2  -m multiport  --ports 80,8080,443 -j DROP
iptables -A INPUT -p tcp -i $IF_LOCAL1  -m multiport  --ports 80,8080,443 -j ACCEPT

# Разрешаем все ранее запрошенные/установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $IF_INET1 -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $IF_INET2 -j ACCEPT
iptables -A FORWARD -i $IF_INET1 -o $IF_LOCAL1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_INET2 -o $IF_LOCAL1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем прохождение пакетов по интерфейсу обратной петли
iptables -A INPUT -i lo -j ACCEPT

# Statistics and auths for customers, ping tests
for net_ips in $NET_LOCAL1; do

iptables -A INPUT -p icmp -i $IF_LOCAL1 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_INET1 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_INET2 --icmp-type echo-request -j ACCEPT

done

#Траффик на сквид
#iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

# DNS сервер имен разрешаем.
iptables -A OUTPUT -p udp -m udp -o $IF_INET1 --dport 53 --sport $UNPRIPORTS -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o $IF_INET1 --dport 53 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p udp -m udp -i $IF_INET1 --dport $UNPRIPORTS --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i $IF_INET1 --dport $UNPRIPORTS --sport 53 -j ACCEPT

iptables -A OUTPUT -p udp -m udp -o $IF_INET2 --dport 53 --sport $UNPRIPORTS -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o $IF_INET2 --dport 53 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p udp -m udp -i $IF_INET2 --dport $UNPRIPORTS --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i $IF_INET2 --dport $UNPRIPORTS --sport 53 -j ACCEPT

# FTP
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT

# PASSIVE FTP
iptables -t filter -A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT

# Разрешаем VPN для определенных адресов и запрещаем остальным
iptables -A INPUT -s 93.157.124.11 -i $IF_INET1 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -s 91.204.149.84 -i $IF_INET1 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i $IF_INET1 -p tcp --dport 1723 -j DROP

iptables -A INPUT -s 93.157.124.11 -i $IF_INET2 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -s 91.204.149.84 -i $IF_INET2 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i $IF_INET2 -p tcp --dport 1723 -j DROP

#iptables -A INPUT -s 93.157.124.11 -p tcp --dport 1723 -m state --state NEW -j ACCEPT
#iptables -A INPUT -s 91.204.149.84 -p tcp --dport 1723 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 1723 -j DROP

# Разрешаем доступ к pptp-серверу для всех
#iptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPT

# Разрешаем доступ по ssh на внешние интерфейсы только с определенных адресов, с остальных закрываем
iptables -A INPUT -s 93.157.124.11 -i $IF_INET1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $IF_INET1 -p tcp --dport 22 -j DROP

iptables -A INPUT -s 93.157.124.11 -i $IF_INET2 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $IF_INET2 -p tcp --dport 22 -j DROP

#iptables -A INPUT -s 93.157.124.11 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j DROP

# Разрешаем работу почтовых клиентов(учитываем, что почтовый траффик идет у нас через Futers, т.е. eth0, IF_INET1)
iptables -A INPUT -i $IF_INET1 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $IF_INET1 -p tcp --dport 25 -j ACCEPT
#iptables -A INPUT -i $IF_INET2 -p tcp --dport 110 -j ACCEPT
#iptables -A INPUT -i $IF_INET2 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $IF_LOCAL1 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $IF_LOCAL1 -p tcp --dport 25 -j ACCEPT

# Форвард 25 порта на MS Exchange 2003(SBS)
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 25 -j DNAT --to-destination 192.168.0.110:25
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 25 -j ACCEPT
#iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 25 -j ACCEPT

# Форвард 110 порта на MS Exchange 2003(SBS)

iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 110 -j DNAT --to-destination 192.168.0.110:110
iptables -t FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 110 -j ACCEPT
#iptables -t FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 110 -j ACCEPT

# Форвард Рабочего места SBS
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 80 -j DNAT --to-destination 192.168.0.110:80
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 443 -j DNAT --to-destination 192.168.0.110:443
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 444 -j DNAT --to-destination 192.168.0.110:444
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 444 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 80 -j DNAT --to-destination 192.168.0.110:80
iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 443 -j DNAT --to-destination 192.168.0.110:443
iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 444 -j DNAT --to-destination 192.168.0.110:444
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 444 -j ACCEPT


## Включаем маскарадинг(даем доступ в инет клиентам локальной сети)
iptables -A FORWARD -i $IF_INET1 -o $IF_LOCAL1 -s $Net_LOCAL1 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $IF_INET2 -o $IF_LOCAL1 -s $Net_LOCAL1 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 
#iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE

iptables -t nat -A POSTROUTING -o $IF_INET1 -s $NET_LOCAL1 -j SNAT --to-source $IP_INET1
iptables -t nat -A POSTROUTING -o $IF_INET2 -s $NET_LOCAL1 -j SNAT --to-source $IP_INET2

# Закрываем известные троянские порты:
iptables -A FORWARD -p udp -m multiport --sport 16355,21111,1349,26274,29891,31337,31338,47262 -j DROP

iptables -A FORWARD -p tcp -m multiport --sport 555,666,1001,1025,1026,1028,1243,2000,5000,6667,6670,6711,6969,7000,12345,123456,21554,22222,27374,29559,31337,31338 -j DROP

## Запрещаем часть рекламы(режем известные серверы рекламы)
iptables -A FORWARD -j DROP -s 194.67.32.247
iptables -A FORWARD -j REJECT -d 194.67.32.247
iptables -A FORWARD -j DROP -s 81.222.128.0/24
iptables -A FORWARD -j REJECT -d 81.222.128.0/24
iptables -A FORWARD -j DROP -s 80.68.240.245
iptables -A FORWARD -j REJECT -d 80.68.240.245
iptables -A FORWARD -j DROP -s 81.19.80.0/26
iptables -A FORWARD -j REJECT -d 81.19.80.0/26
iptables -A FORWARD -j DROP -s 85.12.15.12
iptables -A FORWARD -j REJECT -d 85.12.15.12
iptables -A FORWARD -j DROP -s 80.68.242.108
iptables -A FORWARD -j REJECT -d 80.68.242.108
iptables -A FORWARD -j DROP -s 88.212.200.101
iptables -A FORWARD -j REJECT -d 88.212.200.101
iptables -A FORWARD -j DROP -s 88.212.200.102
iptables -A FORWARD -j REJECT -d 88.212.200.102
iptables -A FORWARD -j DROP -s 88.212.200.103
iptables -A FORWARD -j REJECT -d 88.212.200.103
iptables -A FORWARD -j DROP -s 88.212.200.104
iptables -A FORWARD -j REJECT -d 88.212.200.104
iptables -A FORWARD -j DROP -s 88.212.200.105
iptables -A FORWARD -j REJECT -d 88.212.200.105
iptables -A FORWARD -j DROP -s 88.212.200.106
iptables -A FORWARD -j REJECT -d 88.212.200.106
iptables -A FORWARD -j DROP -s 88.212.200.107
iptables -A FORWARD -j REJECT -d 88.212.200.107
iptables -A FORWARD -j DROP -s 88.212.200.108
iptables -A FORWARD -j REJECT -d 88.212.200.108
iptables -A FORWARD -j DROP -s 200.124.141.73
iptables -A FORWARD -j REJECT -d 200.124.141.73
iptables -A FORWARD -j DROP -s 213.95.1.55
iptables -A FORWARD -j REJECT -d 213.95.1.55
iptables -A FORWARD -j DROP -s 78.140.139.98
iptables -A FORWARD -j REJECT -d 78.140.139.98
iptables -A FORWARD -j DROP -s 87.98.205.19
iptables -A FORWARD -j REJECT -d 87.98.205.19
iptables -A FORWARD -j DROP -s 91.194.91.210
iptables -A FORWARD -j REJECT -d 91.194.91.210
iptables -A FORWARD -j DROP -s 208.43.125.105
iptables -A FORWARD -j REJECT -d 208.43.125.105
iptables -A FORWARD -j DROP -s 80.93.49.141
iptables -A FORWARD -j REJECT -d 80.93.49.141
iptables -A FORWARD -j DROP -s 80.93.58.59
iptables -A FORWARD -j REJECT -d 80.93.58.59
iptables -A FORWARD -j DROP -s 213.174.137.32
iptables -A FORWARD -j REJECT -d 213.174.137.32
iptables -A FORWARD -j DROP -s 213.174.136.0/24
iptables -A FORWARD -j REJECT -d 213.174.136.0/24
iptables -A FORWARD -j DROP -s 209.160.65.196
iptables -A FORWARD -j REJECT -d 209.160.65.196
iptables -A FORWARD -j DROP -s 83.229.248.167
iptables -A FORWARD -j REJECT -d 83.229.248.167
iptables -A FORWARD -j DROP -s 83.229.249.92
iptables -A FORWARD -j REJECT -d 83.229.249.92

echo "Iptables   OK"

exit 0

Подскажите, где я чего не доглядел!

ЗЫ подробное описание задач

(Нажмите, чтобы показать/скрыть)

Имеем сервер с Ubuntu Server 9.04

3 интерфейса:
eth2: xxx.xxx.xxx.xxx - смотрит в локальную сеть
eth0: yyy.yyy.yyy.yyy - сморит в сеть провайдера Futers шлюз: yyy.yyy.yyy.yyy-1
eth3: zzz.zzz.zzz.zzz - смотрит в сеть роутера Dlink, который в свою очередь смотрит в сеть WebPlus(pppoe-соединение от роутера до WebPlus'а) шлюз: zzz.zzz.zzz.zzz-2

Futers провайдер в месте нахождения офиса единственный(кроме WebPlus'а), а посему жутко дорогой(хотя очень стабильный, за несколько лет упал 1 раз и то повине электриков ЖКС).
Телефония в офисе подключена через WebPlus.
Руководством было принято решение об использовании WebPlus также для создания второго канала доступа в и-нет, т.к. по стоимости он заметно дешевле Futers(WebPlus провел нам доплинию для и-нета), есть безлимитные тарифы для юрлиц за адекватные деньги.

На сервере 3 интерфеса - в один воткнут кабель от Futers, второй подключен к роутеру Dlink(тот в свою очередь подключен к WebPlus через pppoe) и третий подключен к хабу, к которому подключены компы локальной сети.

Задача
- Обеспечить выход в и-нет клиентам из локальной сети с распределением трафика как описано ниже
- Пустить трафик по портам 80, 8080, 443, 5190 через eth3(WebPlus), а 110 и 25(а также все что не подходит под eth3) через eth0(Futers).
- Организовать проброс входящих запросов по портам 80,444,443 на интерфейс 1го провайдера(Futers) на сервер с установленным и настроенным SBS(Small Bisness Server)
- Организовать возможность настройки почтовых клиентов не из локальной сети на работу с внутренним почтовым сервером(проброс запросов извне по портам 110 и 25)

https://forum.ubuntu.ru/index.php?topic=60258.30

[fhieos]

badfiles, возьмите любой веб-сервер, имеющий единственный ip и делайте наподобие:

Код: [Выделить]

tcpdump -ne -i any host ip_веб_сервераШлите этому серверу запрос любым удобным способом и смотрите.
И еще раз проверьте скрипты - метка 111 это далеко не метка 1
Пользователь решил продолжить мысль 16 Ноября 2009, 21:00:53:Enkil-404

Задача
- Обеспечить выход в и-нет клиентам из локальной сети с распределением трафика как описано ниже
- Пустить трафик по портам 80, 8080, 443, 5190 через eth3(WebPlus), а 110 и 25(а также все что не подходит под eth3) через eth0(Futers).
- Организовать проброс входящих запросов по портам 80,444,443 на интерфейс 1го провайдера(Futers) на сервер с установленным и настроенным SBS(Small Bisness Server)
- Организовать возможность настройки почтовых клиентов не из локальной сети на работу с внутренним почтовым сервером(проброс запросов извне по портам 110 и 25)

для 1,2 сделайте по ссылке, что я выше приводил
3,4 не требует никаких настроек, если соединения происходят через default gateway

[Enkil-404]

Задача
- Обеспечить выход в и-нет клиентам из локальной сети с распределением трафика как описано ниже
- Пустить трафик по портам 80, 8080, 443, 5190 через eth3(WebPlus), а 110 и 25(а также все что не подходит под eth3) через eth0(Futers).
- Организовать проброс входящих запросов по портам 80,444,443 на интерфейс 1го провайдера(Futers) на сервер с установленным и настроенным SBS(Small Bisness Server)
- Организовать возможность настройки почтовых клиентов не из локальной сети на работу с внутренним почтовым сервером(проброс запросов извне по портам 110 и 25)

для 1,2 сделайте по ссылке, что я выше приводил
3,4 не требует никаких настроек, если соединения происходят через default gateway

Простите, а вы мои конфиги сначала посмотрели перед тем как советовать сделать по ссылке?
начнем с того, что у меня нет ни одного внешнего инт-са, получающего адрес по dhcp
во-вторых, пункты 3 и 4 вообще то требуют настроек iptables, так как само внешнее подключение например по 80 порту на шлюз не пробросится на другую машину.

[badfiles]

fhieos, вы просто невнимательно читали мои скрипты. вы лучше смотрите вывод таблиц. В скриптах все правильно.
Метка 111 -- это атавизм от двухтабличного скрипта, в моем случае вообще не используется.
Метка 1 вообще нигде не упоминается ни в каком виде.

tcpdump запускал именно с такими параметрами. его вывод в вольном изложении представлен выше.
Все больше склоняюсь к мысли, что это надо в багрепорт.
Пользователь решил продолжить мысль 16 Ноября 2009, 22:24:26:Enkil-404, а у вас какое ядро?

[Enkil-404]

Linux  2.6.28-11-server
Ubuntu Server 9.04

[fhieos]

badfiles
Сделайте вывод именно tcpdump и именно с теми ключами, что я написал

Вот это:

Код: [Выделить]

14   1722.582111   172.19.106.144   94.25.208.252   TCP   57112 > https [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1409780 TSER=0 WS=6
15   1723.141393   94.25.208.252   172.19.106.144   TCP   https > 57112 [SYN, ACK] Seq=0 Ack=1 Win=8190 Len=0 MSS=1380
16   1723.141426   172.19.106.144   94.25.208.252   TCP   57112 > https [ACK] Seq=1 Ack=1 Win=5840 Len=0
17   1762.553447   172.19.106.144   94.25.208.252   SSL   Continuation Data
18   1765.553405   172.19.106.144   94.25.208.252   SSL   [TCP Retransmission] Continuation Data
19   1766.121389   94.25.208.252   172.19.106.144   TCP   https > 57112 [RST] Seq=1 Win=9838 Len=0не дает нужной информации, тк. нет имени интерфейса.
Вы напрасно упрямитесь, считая, что написанного выше за глаза хватит, чтобы делать выводы о баге в ядре.
Ошибка в том, что Вы думаете будто 172.19.106.144 "прибит гвоздями" к Вашему eth0 или ppp0, поэтому делаете неправильные выводы о маршрутизации.

Кстати, Вы делали
ping -I eth0 ya.ru
ping -I ppp0 ya.ru

Проверьте (и проверяйте каждый раз после манипуляций с таблицами).
Если у вас любой из таких пингов не работает, то ясно, что крутить мечеными пакетами рановато

[badfiles]

fhieos, вы опять невнимательно читаете. "Вот это" -- нормальный правильный сеанс связи, который я привел для иллюстрации того факта, что связь через другой шлюз возможна в принципе, и что у меня правильные маршруты во всех таблицах. Этот сеанс не имеет никакого отношения к обсуждаемой теме.
Если бы я действительно считал что это баг, уже давно бы оформил.
Но тем не менее, вы возможно правы. Я обязательно приведу вывод tcpdump для транзитного и для локального пакетов. С GPRS связываться больше не буду, все пойдет с боевого сервера.

Еще раз, все по порядку, с пояснениями и примерами.

cat rt_tables  (без комментариев)

(Нажмите, чтобы показать/скрыть)

#
# reserved values
#
255   local
254   main
253   default
0   unspec
#
# local
#
#1   inr.ruhep

10      isp2

ip rule list

(Нажмите, чтобы показать/скрыть)

0:   from all lookup local
32764:   from all fwmark 0xde lookup isp2
32765:   from 92.105.39.245 lookup isp2
32766:   from all lookup main
32767:   from all lookup default

ip route list table main

(Нажмите, чтобы показать/скрыть)

4.2.109.48/28 dev eth2.5  scope link  src 4.2.109.51
10.10.15.0/24 dev tap0  proto kernel  scope link  src 10.10.15.1
10.10.10.0/24 dev eth2  proto kernel  scope link  src 10.10.10.111
10.10.11.0/24 dev eth2.2  proto kernel  scope link  src 10.10.11.1
92.105.36.0/22 dev eth3  scope link  src 92.105.39.245
default via 4.2.109.49 dev eth2.5

ip route list table isp2

(Нажмите, чтобы показать/скрыть)

4.2.109.48/28 dev eth2.5  scope link  src 4.2.109.51
10.10.10.0/24 dev eth2  scope link
92.105.36.0/22 dev eth3  scope link  src 92.105.39.245
127.0.0.0/8 dev lo  scope link
default via 92.105.36.1 dev eth3

Чтобы не постить сюда iptables, сделаем криминальное действие и проверим транзитную и локальную связь (при этом никаких меток никуда не ставим)
криминальное действие такое ip route add default via 92.105.36.1 dev eth3

транзитный

(Нажмите, чтобы показать/скрыть)

10:05:06.135306  In 00:13:d3:3c:8e:99 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 60334, offset 0, flags [DF], proto TCP (6), length 60)
    10.10.10.4.42914 > 94.25.208.252.443: Flags [S,], cksum 0xc0b4 (correct), seq 2007693559, win 5840, options [mss 1460,sackOK,TS val 4953 ecr 0,nop,wscale 6], length 0
10:05:06.135358 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 63, id 60334, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.42914 > 94.25.208.252.443: Flags [S,], cksum 0x3e64 (correct), seq 2007693559, win 5840, options [mss 1460,sackOK,TS val 4953 ecr 0,nop,wscale 6], length 0
10:05:06.275763  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 253, id 59969, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 92.105.39.245.42914: Flags [S.], cksum 0x7895 (correct), seq 4225246341, ack 2007693560, win 8190, options [mss 1380], length 0
10:05:06.275797 Out 00:16:76:88:e5:30 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 252, id 59969, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 10.10.10.4.42914: Flags [S.], cksum 0xfae5 (correct), seq 4225246341, ack 2007693560, win 8190, options [mss 1380], length 0
10:05:06.275913  In 00:13:d3:3c:8e:99 ethertype IPv4 (0x0800), length 62: (tos 0x10, ttl 64, id 60335, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.10.4.42914 > 94.25.208.252.443: Flags [.], cksum 0x1b81 (correct), seq 1, ack 1, win 5840, length 0
10:05:06.275929 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 56: (tos 0x10, ttl 63, id 60335, offset 0, flags [DF], proto TCP (6), length 40)
    92.105.39.245.42914 > 94.25.208.252.443: Flags [.], cksum 0x9930 (correct), seq 1, ack 1, win 5840, length 0
10:05:07.972521  In 00:13:d3:3c:8e:99 ethertype IPv4 (0x0800), length 62: (tos 0x10, ttl 64, id 60336, offset 0, flags [DF], proto TCP (6), length 45)
    10.10.10.4.42914 > 94.25.208.252.443: Flags [P.], cksum 0x1581 (correct), seq 1:6, ack 1, win 5840, length 5
10:05:07.972553 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 61: (tos 0x10, ttl 63, id 60336, offset 0, flags [DF], proto TCP (6), length 45)
    92.105.39.245.42914 > 94.25.208.252.443: Flags [P.], cksum 0x9330 (correct), seq 1:6, ack 1, win 5840, length 5
10:05:08.084804  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 253, id 33625, offset 0, flags [DF], proto TCP (6), length 40)
    94.25.208.252.443 > 92.105.39.245.42914: Flags [R], cksum 0x8999 (correct), seq 4225246342, win 9838, length 0
10:05:08.084824 Out 00:16:76:88:e5:30 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 252, id 33625, offset 0, flags [DF], proto TCP (6), length 40)
    94.25.208.252.443 > 10.10.10.4.42914: Flags [R], cksum 0x0bea (correct), seq 4225246342, win 9838, length 0

локальный

(Нажмите, чтобы показать/скрыть)

10:05:45.547493 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 2285, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.52819 > 94.25.208.252.443: Flags [S,], cksum 0x515d (correct), seq 1409121486, win 5384, options [mss 1346,sackOK,TS val 127693859 ecr 0,nop,wscale 6], length 0
10:05:45.635793  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 253, id 26917, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 92.105.39.245.52819: Flags [S.], cksum 0x0d3f (correct), seq 2196275737, ack 1409121487, win 8190, options [mss 1340], length 0
10:05:45.635840 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 56: (tos 0x10, ttl 64, id 2286, offset 0, flags [DF], proto TCP (6), length 40)
    92.105.39.245.52819 > 94.25.208.252.443: Flags [.], cksum 0x2f7a (correct), seq 1, ack 1, win 5384, length 0
10:05:47.039652 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 61: (tos 0x10, ttl 64, id 2287, offset 0, flags [DF], proto TCP (6), length 45)
    92.105.39.245.52819 > 94.25.208.252.443: Flags [P.], cksum 0x297a (correct), seq 1:6, ack 1, win 5384, length 5
10:05:47.135857  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 253, id 36147, offset 0, flags [DF], proto TCP (6), length 40)
    94.25.208.252.443 > 92.105.39.245.52819: Flags [R], cksum 0x1e1b (correct), seq 2196275738, win 9838, length 0

Какой из этого следует вывод?  Вывод такой: у меня правильно работает шлюз, правильно транслируются адреса, правильно настроен второй провайдер, и вообще все правильно.
Убираем лишний дефолтный гейтвэй, и метим пакеты в таблице mangle, prerouting так:

(Нажмите, чтобы показать/скрыть)

*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -s 10.10.10.0/24 -i eth2 --dport 443 -j MARK --set-mark 222
COMMIT

локальный сеанс, он именно такой, какой должен быть

(Нажмите, чтобы показать/скрыть)

10:35:13.316249 Out 00:16:76:88:e5:30 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 1879, offset 0, flags [DF], proto TCP (6), length 60)
    4.2.109.51.38910 > 94.25.208.252.443: Flags [S,], cksum 0x701d (correct), seq 3348247853, win 5840, options [mss 1460,sackOK,TS val 128135802 ecr 0,nop,wscale 6], length 0
10:35:13.327820  In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 248, id 49784, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 4.2.109.51.38910: Flags [S.], cksum 0x9a19 (correct), seq 1143608109, ack 3348247854, win 8190, options [mss 1380], length 0
10:35:13.327863 Out 00:16:76:88:e5:30 ethertype IPv4 (0x0800), length 56: (tos 0x10, ttl 64, id 1880, offset 0, flags [DF], proto TCP (6), length 40)
    4.2.109.51.38910 > 94.25.208.252.443: Flags [.], cksum 0xbab4 (correct), seq 1, ack 1, win 5840, length 0
10:35:15.519648 Out 00:16:76:88:e5:30 ethertype IPv4 (0x0800), length 61: (tos 0x10, ttl 64, id 1881, offset 0, flags [DF], proto TCP (6), length 45)
    4.2.109.51.38910 > 94.25.208.252.443: Flags [P.], cksum 0xb4b4 (correct), seq 1:6, ack 1, win 5840, length 5
10:35:15.530943  In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 248, id 42640, offset 0, flags [DF], proto TCP (6), length 40)
    94.25.208.252.443 > 4.2.109.51.38910: Flags [R], cksum 0xab1d (correct), seq 1143608110, win 9838, length 0

транзитный сеанс, здесь самое интересное. Что мы видим? Пакет уходит с правильного интерфейса с правильным source ip. (то есть он таки уходит в желаемую таблицу маршрутизации), и удаленный сервер отвесает на этот интерфейс и на этот ip. И все. система на это никак не реагирует, и начинает устанавливать связь с начала.

(Нажмите, чтобы показать/скрыть)

10:34:27.739510  In 00:13:d3:3c:8e:99 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 54853, offset 0, flags [DF], proto TCP (6), length 60)
    10.10.10.4.41405 > 94.25.208.252.443: Flags [S,], cksum 0x3d7a (correct), seq 3819744659, win 5840, options [mss 1460,sackOK,TS val 293846 ecr 0,nop,wscale 6], length 0
10:34:27.743881 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 63, id 54853, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.41405 > 94.25.208.252.443: Flags [S,], cksum 0xbb29 (correct), seq 3819744659, win 5840, options [mss 1460,sackOK,TS val 293846 ecr 0,nop,wscale 6], length 0
10:34:27.981953  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 253, id 45716, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 92.105.39.245.41405: Flags [S.], cksum 0xb233 (correct), seq 2156546940, ack 3819744660, win 8190, options [mss 1380], length 0
10:34:30.738952  In 00:13:d3:3c:8e:99 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 54854, offset 0, flags [DF], proto TCP (6), length 60)
    10.10.10.4.41405 > 94.25.208.252.443: Flags [S,], cksum 0x3a8c (correct), seq 3819744659, win 5840, options [mss 1460,sackOK,TS val 294596 ecr 0,nop,wscale 6], length 0
10:34:30.738975 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 63, id 54854, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.41405 > 94.25.208.252.443: Flags [S,], cksum 0xb83b (correct), seq 3819744659, win 5840, options [mss 1460,sackOK,TS val 294596 ecr 0,nop,wscale 6], length 0
  ...........................................

контрольный выстрел. заворачиваем локальный сеанс так

(Нажмите, чтобы показать/скрыть)

*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -s 10.10.10.0/24 -i eth2 --dport 443 -j MARK  --set-mark 222
-A OUTPUT -p tcp -m tcp --dport 443 -j MARK --set-mark 222

имеем уходящий с правильного интерфейса  и ip пакет, и никакой реакции системы.

(Нажмите, чтобы показать/скрыть)

10:54:49.524716 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 38958, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.50909 > 94.25.208.252.443: Flags [S,], cksum 0xa22f (correct), seq 318715696, win 5840, options [mss 1460,sackOK,TS val 128429854 ecr 0,nop,wscale 6], length 0
10:54:49.620363  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 253, id 19614, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 92.105.39.245.50909: Flags [S.], cksum 0x1f13 (correct), seq 2320037583, ack 318715697, win 8190, options [mss 1380], length 0
10:54:52.523577 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 38959, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.50909 > 94.25.208.252.443: Flags [S,], cksum 0x9f41 (correct), seq 318715696, win 5840, options [mss 1460,sackOK,TS val 128430604 ecr 0,nop,wscale 6], length 0
10:54:52.615771  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 253, id 48056, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 92.105.39.245.50909: Flags [S.], cksum 0x1f13 (correct), seq 2320037583, ack 318715697, win 8190, options [mss 1380], length 0
10:54:58.523605 Out 00:24:91:3c:0e:f4 ethertype IPv4 (0x0800), length 76: (tos 0x10, ttl 64, id 38960, offset 0, flags [DF], proto TCP (6), length 60)
    92.105.39.245.50909 > 94.25.208.252.443: Flags [S,], cksum 0x9965 (correct), seq 318715696, win 5840, options [mss 1460,sackOK,TS val 128432104 ecr 0,nop,wscale 6], length 0
10:54:58.620907  In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 253, id 25609, offset 0, flags [DF], proto TCP (6), length 44)
    94.25.208.252.443 > 92.105.39.245.50909: Flags [S.], cksum 0x1f13 (correct), seq 2320037583, ack 318715697, win 8190, options [mss 1380], length 0
..............................................................................

Ну, как вам такой расклад?

[Enkil-404]

Увы, пока не могу подсказать Вам.
Но есть некоторые подвижки и это начинает радовать...

что сделал
- поменял дефаулт гэйт на

Код: [Выделить]

ip route add default via [b]$GW_INET2[/b]
траффик по портам 80,8080,443 и 5190 пошел по нужным маршрутам(т.е. через 2го провайдера

Однако осталась пока непонятная проблема
не работает почта(почтовый сервер на MS Small Bisness Server 2003), т.е. не работает проброс 110 и 25го портов на шлюзе.
А также не работает проброс 80го 443го и 444го портов извне на этотже виндовый сервер.
Раньше при работе с одним провом работало и то и другое.

Часть скрипта iptables.
Раньше(когда работало) было тоже самое но только для $IP_INET1 и $IF_INET1(адрес и интерфейс старого прова)

(Нажмите, чтобы показать/скрыть)

# Форвард 25 порта на MS Exchange 2003(SBS)
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 25 -j DNAT --to-destination 192.168.0.110:25
iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 25 -j DNAT --to-destination 192.168.0.110:25

iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 25 -j ACCEPT

# Форвард 110 порта на MS Exchange 2003(SBS)

iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 110 -j DNAT --to-destination 192.168.0.110:110
iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 110 -j DNAT --to-destination 192.168.0.110:110

iptables -t FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 110 -j ACCEPT
iptables -t FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 110 -j ACCEPT

# Форвард Рабочего места SBS
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 80 -j DNAT --to-destination 192.168.0.110:80
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 443 -j DNAT --to-destination 192.168.0.110:443
iptables -t nat -A PREROUTING -p tcp -d $IP_INET1 --dport 444 -j DNAT --to-destination 192.168.0.110:444
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $IF_INET1 -d 192.168.0.110 -p tcp --dport 444 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 80 -j DNAT --to-destination 192.168.0.110:80
iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 443 -j DNAT --to-destination 192.168.0.110:443
iptables -t nat -A PREROUTING -p tcp -d $IP_INET2 --dport 444 -j DNAT --to-destination 192.168.0.110:444
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $IF_INET2 -d 192.168.0.110 -p tcp --dport 444 -j ACCEPT

заполнение таблиц маршрутизации

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

echo "preparing routing tables"

# Описываем переменные, используемые в скрипте

IP_LOCAL1="192.168.0.1" # адрес нашего маршрутизатора в локальной сети.
IP_INET1="217.15.26.98" # адрес нашего маршрутизатора в сети Futers.
IP_INET2="192.168.1.3" # адрес нашего марщрутизатора в сети WebPlus.

IF_LOCAL1="eth2" # имя интерфейса на локальную сеть
IF_INET1="eth0" # имя интерфейса на Futers.
IF_INET2="eth3" # имя интерфейса на WebPlus.

NET_LOCAL1="192.168.0.0/24" # локальная сеть.
NET_INET1="217.15.26.0/30" # адрес сети в которой гейт Futers'а
NET_INET2="192.168.1.0/24" # адрес сети в которой гейт WebPlus'а(а точнее Dlink-роутер).

GW_INET1="217.15.26.97" # гейт Futers.
GW_INET2="192.168.1.1" # гейт WebPlus.(ADSL модем Dlink)

UNPRIPORTS="1024:65535" # Номера непривилегированных портов

# Настраиваем таблицы маршрутизации

ip route flush table T1         #обнуляем первую таблицу маршрутов
ip route flush table T2         #обнуляем вторую таблицу маршрутов

ip rule delete table T1      #удаляем наши таблицы, если они присутсвуют в текущей конфигурации (вдруг мы просто перезапуска$
ip rule delete table T2      #аналогично для второй.

ip rule delete table T1      #и делаем это два раза, так как у нас два правила на каждую таблицу.
ip rule delete table T2      #аналогично для второй.

ip route add $NET_LOCAL1 dev $IF_LOCAL1 src $IP_LOCAL1 table T1
ip route add $NET_INET1  dev $IF_INET1  src $IP_INET1  table T1
ip route add $NET_INET2  dev $IF_INET2  src $IP_INET2  table T1
ip route add 127.0.0.0/8 dev lo         table T1
ip route add default     via $GW_INET1  table T1
ip route add $NET_LOCAL1 dev $IF_LOCAL1 src $IP_LOCAL1 table T2
ip route add $NET_INET1  dev $IF_INET1  src $IP_INET1  table T2
ip route add $NET_INET2  dev $IF_INET2  src $IP_INET2  table T2
ip route add 127.0.0.0/8 dev lo   table T2
ip route add default     via $GW_INET2  table T2

ip route add $NET_INET1 dev $IF_INET1 src $IP_INET1      #заполняем основную таблицу адресов. сеть на Futers
ip route add $NET_INET2 dev $IF_INET2 src $IP_INET2      #заполняем основную таблицу адресов. сеть на WebPlus

# А вот это важно для понимания! если понять что происходит в следующих строчках - то можно настраивать любые правила маршру$
ip rule add from $IP_INET1 table T1   #все пакеты от ip адреса первого провайдера маршрутизировать по таблице T1
ip rule add from $IP_INET2 table T2   #все пакеты от ip адреса второго провайдера маршрутизировать по таблице T2

ip rule add fwmark 10 table T1   #все пакеты, которые имеют метку 10 маршрутизировать по таблице T1
ip rule add fwmark 11 table T2   #все пакеты, которые имеют метку 11 маршрутизировать по таблицу T2

ip route del default
ip route add default via $GW_INET2  #заполняем основную таблицу адресов. дефолтный гейт


ip route flush cache      #ну и на последок очистить кеш

# 2 ip в интернете, на которые задаем маршруты вручную. Чтобы проверять работает инет на интерфейсах или нет.
route add -host 212.188.4.10  gw $GW_INET1 $IF_INET1
route add -host 195.34.32.116 gw $GW_INET2 $IF_INET2

## Настраиваем распределение трафика
## Трафик по 80,8080,443(веб различный) и 5190(аська) метим меткой 11(это на WebPlus)
#iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp -m multiport --dport 80,8080,443,5190  -j MARK --set-mark 11
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 80  -j MARK --set-mark 11
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 80 -j RETURN
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 8080  -j MARK --set-mark 11
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 8080 -j RETURN
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 443  -j MARK --set-mark 11
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 443 -j RETURN
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 5190  -j MARK --set-mark 11
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 5190 -j RETURN

## Трафик по 110,25(почта), а также весь, неописанный выше, метим меткой 10(это на Futers)
#iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp -m multiport --dport 110,25  -j MARK --set-mark 11
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 110  -j MARK --set-mark 10
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 110 -j RETURN
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 25  -j MARK --set-mark 10
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -p tcp --dport 25 -j RETURN
iptables -t mangle -A PREROUTING  -s $NET_LOCAL1 -j MARK --set-mark 10

echo "Routing   OK"

exit 0

часть iptables где идет NAT

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A POSTROUTING -o $IF_INET1 -s $NET_LOCAL1 -j SNAT --to-source $IP_INET1
iptables -t nat -A POSTROUTING -o $IF_INET2 -s $NET_LOCAL1 -j SNAT --to-source $IP_INET2

В чем проблема?

[badfiles]

- поменял дефаулт гэйт на

Так этого вполне достаточно, можно больше ничего не делать.
Задача то у нас стоит другая -- завернуть только определенный трафик через другой гейт.
Я тоже пробовал 2 дефолт рута в главную таблицу пехать -- ничего путного из этого не вышло.

[Enkil-404]

просто в выше приведенных рабочих конфига от Nesmit, было по другому(так как было у меня до изменения дефолт гейта)

вроде как сейчас у меня трафик ходит как надо, т.е. часть завернута на одного прова,а часть на другого., но почему то перестал работать проброс(и как следствие почта у клиентов локалки, т.к. у них почтовые проги натроены на наш почтвый сервер)

вот почему так и как это исправить я пока не разобрался


Проверил, поменял метки чтобы аська через нового прова, а 80,8080,443 через старого
не заработало - все равно все через нового идет, т.е. только по дефолт маршруту.
Получается что метки у меня не работают.

Почему?

[badfiles]

Товарищи_у_которых_все_работает, можно глянуть ваше дерево /proc/sys/net?
если надумаете дать, то там много секретного, замаскируйте айпишники, я предупредил ))
Пользователь решил продолжить мысль 17 Ноября 2009, 11:09:04:

Проверил, поменял метки чтобы аська через нового прова, а 80,8080,443 через старого
не заработало - все равно все через нового идет, т.е. только по дефолт маршруту.
Получается что метки у меня не работают.

Почему?

Я вас поздравляю, коллега, у вас скорее всего таже фигня. Метки работают, тут что-то другое.

[Enkil-404]

я начинаю сомневаться что метки работают, потому что если весь траффик(включая почтовый) пометить для работы через нового прова, то почта все равно не отправляется.
Однако, меня смутило что если в скрипте где метки расставляются снова вернуть дефаулт гейт на старого прова, инет пропадает(при работающих метках логично, т.к. они идут через нового), но почему он раньше не пропадал?(т.е. я просто попробовал откатить)

как проверить работают ли метки, идет ли трафик по по их условиям?

[badfiles]

tcpdump-ом

[Enkil-404]

хм, логично)))
ток как там увидеть что именно по метке идет пакет?
ЗЫ не очень умею читать tcpdump(понимаю что надо)