IPROUTE2 + 2 провайдера

[badfiles]

Если по метке пакет должен покидать с интерфейса eth2 c ip 1.2.3.4, то вы увидете их mac и ip в исходящем пакете. Думаю, что так.
Я вообще wireshark использую, но вот тут мне говорят tcpdump, tcpdump давай. Ну так не одно ли и то же?

[fhieos]

badfiles, кончайте язвить - я Вам пытаюсь помочь, а не экзамен сдаю. К тому же никого более внимательного, чем я пока не наблюдается.
Тем более я нигде не говорил, что я крупный специалист по рутингу и iptables.
Теперь о Ваших выводах

Какой из этого следует вывод?  Вывод такой: у меня правильно работает шлюз, правильно транслируются адреса, правильно настроен второй провайдер, и вообще все правильно.

Не уверен, что все правильно, т.к. видны пакеты [R]
Будет удобнее и Вам, если замените в выводе tcpdump МАКи на более читабельные имена интерфейсов - 00:24:91:3c:0e:f4 на wimax0 (?), например

Ping через разные интерфейсы Вы не сделали?

Что у Вас выводит

Код: [Выделить]

cat /proc/sys/net/ipv4/conf/имя_интерфейса/rp_filterдля всех Ваших линков?

[badfiles]

Кроме Вас тут вообще никого не наблюдается, что странно.

Я сам посылаю R пакет после установления соединения )) CTLR-C в сессии telnet.

Про пинги просто забыл.

Будет удобнее и Вам, если замените в выводе tcpdump МАКи на более читабельные имена интерфейсов -- а как?

cat /proc/sys/net/ipv4/conf/имя_интерфейса/rp_filter -- везде 1
Пользователь решил продолжить мысль 17 Ноября 2009, 17:45:08:Пинги идут с ОБОИХ интерфейсов, что уже пугает.

[fhieos]

Выставите
echo 0 > /proc/sys/net/ipv4/conf/имя_интерфейса/rp_filter
для всех и проверьте не заработало ли

[Nesmit]

Кроме Вас тут вообще никого не наблюдается, что странно.
...
Пинги идут с ОБОИХ интерфейсов, что уже пугает.

Чем мог, помог.
в моем случае пинги так и не идут )))) без статических маршрутов.

[badfiles]

вообще для всех, для внешних или для тех, которые участвуют в соединении?
Пользователь решил продолжить мысль 17 Ноября 2009, 16:13:07:локальный не стал проверять, транзитный не пошел. Поставил 0 для всех участвующих. А у вас что-ли 0?
а пинги идут

[fhieos]

у меня rp_ filter 0 только для второго линка, на который делается доп.таблица

Короче я предлагаю идти плавно путем усложнения конфигурации
давайте не будем лохматить транзитные пакеты для ясности

раз пинги по интерфейсам идут, то я бы сделал 2 вывода tcpdump (мне кажется удобнее именно с такими ключами) - только для локальной машины
1. Без заворота 443 на второй линк
tcpdump -tne -i any host 94.25.208.252
Затем лучше все таки браузером https://94.25.208.252 чтоб не торчали резеты Ваши
После вывод tcpdump пихаете в любой текстовый редактор с автозаменой MAC->iface name и сюда
2. С заворотом, добавляете mangle-правило
Все то же самое - https://94.25.208.252
tcpdump -> MAC->iface -> сюда

Отключите rp_filter на всех участвующих в процессе адаптерах, потом вклЮчите там где надо обратно, когда разберетесь

[badfiles]

у меня rp_ filter 0 только для второго линка, на который делается доп.таблица

ясно

Короче я предлагаю идти плавно путем усложнения конфигурации

я это уже осознал.

раз пинги по интерфейсам идут, то я бы сделал 2 вывода tcpdump (мне кажется удобнее именно с такими ключами) - только для локальной машины

да нет проблем

1. Без заворота 443 на второй линк
tcpdump -tne -i any host 94.25.208.252
Затем лучше все таки браузером https://94.25.208.252 чтоб не торчали резеты Ваши
После вывод tcpdump пихаете в любой текстовый редактор с автозаменой MAC->iface name и сюда

с Вашего позволения, wget'oм
броузеров на сервере не держу.

(Нажмите, чтобы показать/скрыть)

Out eth2.5 ethertype IPv4 (0x0800), length 76: 4.2.109.51.43633 > 94.25.208.252.443: Flags [S,], seq 3597329535, win 5840, options [mss 1460,sackOK,TS val 137657665 ecr 0,nop,wscale 6], length 0
 In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 62: 94.25.208.252.443 > 4.2.109.51.43633: Flags [S.], seq 586424701, ack 3597329536, win 8190, options [mss 1380], length 0
Out eth2.5 ethertype IPv4 (0x0800), length 56: 4.2.109.51.43633 > 94.25.208.252.443: Flags [.], ack 1, win 5840, length 0
Out eth2.5 ethertype IPv4 (0x0800), length 174: 4.2.109.51.43633 > 94.25.208.252.443: Flags [P.], seq 1:119, ack 1, win 5840, length 118
 In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 1033: 94.25.208.252.443 > 4.2.109.51.43633: Flags [P.], seq 1:978, ack 119, win 35452, length 977
Out eth2.5 ethertype IPv4 (0x0800), length 56: 4.2.109.51.43633 > 94.25.208.252.443: Flags [.], ack 978, win 7816, length 0
Out eth2.5 ethertype IPv4 (0x0800), length 238: 4.2.109.51.43633 > 94.25.208.252.443: Flags [P.], seq 119:301, ack 978, win 7816, length 182
 In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 62: 94.25.208.252.443 > 4.2.109.51.43633: Flags [.], ack 301, win 35270, length 0
 In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 99: 94.25.208.252.443 > 4.2.109.51.43633: Flags [P.], seq 978:1021, ack 301, win 35270, length 43
Out eth2.5 ethertype IPv4 (0x0800), length 56: 4.2.109.51.43633 > 94.25.208.252.443: Flags [.], ack 1021, win 7816, length 0
Out eth2.5 ethertype IPv4 (0x0800), length 79: 4.2.109.51.43633 > 94.25.208.252.443: Flags [P.], seq 301:324, ack 1021, win 7816, length 23
Out eth2.5 ethertype IPv4 (0x0800), length 56: 4.2.109.51.43633 > 94.25.208.252.443: Flags [F.], seq 324, ack 1021, win 7816, length 0
 In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 62: 94.25.208.252.443 > 4.2.109.51.43633: Flags [.], ack 324, win 35247, length 0
 In 00:14:a8:b9:c2:dd ethertype IPv4 (0x0800), length 62: 94.25.208.252.443 > 4.2.109.51.43633: Flags [F.], seq 1021, ack 325, win 35246, length 0
Out eth2.5 ethertype IPv4 (0x0800), length 56: 4.2.109.51.43633 > 94.25.208.252.443: Flags [.], ack 1022, win 7816, length 0

2. С заворотом, добавляете mangle-правило
Все то же самое - https://94.25.208.252
tcpdump -> MAC->iface -> сюда

(Нажмите, чтобы показать/скрыть)

Out eth3 ethertype IPv4 (0x0800), length 76: 92.105.39.245.59508 > 94.25.208.252.443: Flags [S,], seq 1306773197, win 5840, options [mss 1460,sackOK,TS val 137826532 ecr 0,nop,wscale 6], length 0
 In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: 94.25.208.252.443 > 92.105.39.245.59508: Flags [S.], seq 2366796618, ack 1306773198, win 8190, options [mss 1380], length 0
Out eth3 ethertype IPv4 (0x0800), length 76: 92.105.39.245.59508 > 94.25.208.252.443: Flags [S,], seq 1306773197, win 5840, options [mss 1460,sackOK,TS val 137827282 ecr 0,nop,wscale 6], length 0
 In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: 94.25.208.252.443 > 92.105.39.245.59508: Flags [S.], seq 2366796618, ack 1306773198, win 8190, options [mss 1380], length 0
Out eth3 ethertype IPv4 (0x0800), length 76: 92.105.39.245.59508 > 94.25.208.252.443: Flags [S,], seq 1306773197, win 5840, options [mss 1460,sackOK,TS val 137828782 ecr 0,nop,wscale 6], length 0
 In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: 94.25.208.252.443 > 92.105.39.245.59508: Flags [S.], seq 2366796618, ack 1306773198, win 8190, options [mss 1380], length 0
Out eth3 ethertype IPv4 (0x0800), length 76: 92.105.39.245.59508 > 94.25.208.252.443: Flags [S,], seq 1306773197, win 5840, options [mss 1460,sackOK,TS val 137831782 ecr 0,nop,wscale 6], length 0
 In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: 94.25.208.252.443 > 92.105.39.245.59508: Flags [S.], seq 2366796618, ack 1306773198, win 8190, options [mss 1380], length 0
Out eth3 ethertype IPv4 (0x0800), length 76: 92.105.39.245.59508 > 94.25.208.252.443: Flags [S,], seq 1306773197, win 5840, options [mss 1460,sackOK,TS val 137837782 ecr 0,nop,wscale 6], length 0
 In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: 94.25.208.252.443 > 92.105.39.245.59508: Flags [S.], seq 2350740962, ack 1306773198, win 8190, options [mss 1380], length 0

[fhieos]

Глазам приятно читать %)
На мой взгляд, все работает как хотели

Теперь давайте транзит, те же 2 условия - как клиент из локалки пойдёт сначала без заворота, потом с ним. И те же 2 вывода tcpdump

[badfiles]

где же работает? соединение то завернутое не устанавливается.
Пользователь решил продолжить мысль 17 Ноября 2009, 12:23:14:потом, я уже все это постил, просто без mac->iface, причем демонстрировал работу второго канала локально и транзитом.

Пользователь решил продолжить мысль 17 Ноября 2009, 14:24:18:поскольку таблицу маршрутизации я случайно зарубил кривым правилом, вся эта волынка откладывается до завтра.
Пользователь решил продолжить мысль 17 Ноября 2009, 16:29:05:хаха это мой надежный провайдер упал. первый раз за 2 года. уже поднялся, молодец.
а правило кривое не успело записаться, бывает же такое....

мы просто ходим кругами, дело явно не в iptables, тут в роутинге что-то не так.

[fhieos]

где же работает? соединение то завернутое не устанавливается.

Не работает, я проглючил чего-то, в спойлерах запутался, наверное %)
Значит, так
я вижу, что Ваша машинка не отвечает на подтверждение соединения, вместо этого шлет опять запрос на соединение

дайте вывод iptables -t mangle -nvL для "2. С заворотом"

[badfiles]

Chain PREROUTING (policy ACCEPT 14205 packets, 3700K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 
Chain INPUT (policy ACCEPT 11492 packets, 2986K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 2578 packets, 700K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 7667 packets, 2196K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   65  5423 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 MARK xset 0xde/0xffffffff

Chain POSTROUTING (policy ACCEPT 10292 packets, 2902K bytes)
 pkts bytes target     prot opt in     out     source               destination

[fhieos]

Chain PREROUTING (policy ACCEPT 14205 packets, 3700K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 
Chain INPUT (policy ACCEPT 11492 packets, 2986K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 2578 packets, 700K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 7667 packets, 2196K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   65  5423 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 MARK xset 0xde/0xffffffff

Chain POSTROUTING (policy ACCEPT 10292 packets, 2902K bytes)
 pkts bytes target     prot opt in     out     source               destination

Мне кажется выбор OUTPUT ошибочен

удалите это правило и сделайте

Код: [Выделить]

iptables -A PREROUTING -t mangle -p tcp --dport 443 -j MARK --set-mark 222после на всякий случай
ip ro flush cache

[badfiles]

Соединяется через дефолт рут (первого прова), что полностью соответствует моим теоретическим представлениям.

Кеш рутов периодически сливаю, но все без толку.
Проверил на всякий случай есть ли поддержка advenced routing в конфигах ядра.
Есть. А лучше бы её не было.

[fhieos]

Ясно, в-общем я бы попробовал полностью поменять роли линков
Сделать второй первым и наоборот
92.105.39.245 - это Yota? Вдруг с ней грабли из-за чего нибудь другого, не связанного с рутингом
А если после такого swap'а будет "те же яйца вид сбоку", я бы уже стал смотреть содержимое пакетов

Код: [Выделить]

In 00:24:91:3c:0e:f5 ethertype IPv4 (0x0800), length 60: 94.25.208.252.443 > 92.105.39.245.59508: Flags [S.], seq 2366796618, ack 1306773198, win 8190, options [mss 1380], length 0
Out eth3 ethertype IPv4 (0x0800), length 76: 92.105.39.245.59508 > 94.25.208.252.443: Flags [S,], seq 1306773197, win 5840, options [mss 1460,sackOK,TS val 137827282 ecr 0,nop,wscale 6], length 0второй и третий из вывода tcpdump