Автор Тема: IPROUTE2 + 2 провайдера (Прочитано 53311 раз)

badfiles · « **Ответ #75 :** 13 Ноября 2009, 15:32:00 »

Объясните пожалуйста, зачем нужны железные роутеры?

Unreg · « **Ответ #76 :** 13 Ноября 2009, 15:49:20 »

ругайте, где не верно
2 аппаратных маршрутизатора - ubuntu - lan
$ cat /etc/iproute2/rt_tables

(Нажмите, чтобы показать/скрыть)


#!/bin/bash

# LAN interface
IF0="192.168.5.1"

# WAN interface 1
IF1="eth0"
# WAN interface 2
IF2="eth2"

#IP1="`ip addr show $IF1 | grep inet | awk '{print $2}'`"
#IP1="`ifconfig ppp999 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $8}' | sed -e 's/addr://'`"
#IP2=`ifconfig eth2 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}'   | sed -e 's/addr://'`
IP2="`ifconfig eth2 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}'   | sed -e 's/addr://'`"
IP1="`ifconfig eth0 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}'   | sed -e 's/addr://'`"
# gateway 1
#P1="`ifconfig ppp999 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $9}' | sed -e 's/P-t-P://'`"
P1="192.168.1.1"
# gateway 2
P2="192.168.2.1"

# LAN netmask
P0_NET="192.168.5.0/24"
# WAN1 netmask
P1_NET="192.168.1.0/24"
# WAN2 netmask
P2_NET="192.168.2.0/24"

TBL1="provider1"
TBL2="provider2"

# Realtive weight of channels bandwidth

W1="19"
W2="1"

ip route flush table $TBL1                  #обнуляем первую таблицу маршрутов
ip route flush table $TBL2

ip route flush cache

ip rule delete table $TBL1        
ip rule delete table $TBL2         
ip rule delete table $TBL1         
ip rule delete table $TBL2

ip route add $P1_NET dev $IF1 src $IP1 table $TBL2 > /dev/null 2>&1
ip route add default via $P1 table $TBL1 > /dev/null 2>&1
ip route add $P2_NET dev $IF2 src $IP2 table $TBL2 > /dev/null 2>&1
ip route add default via $P2 table $TBL2 > /dev/null 2>&1

ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2

ip rule add from $IP1 table $TBL1 > /dev/null 2>&1
ip rule add from $IP2 table $TBL2 > /dev/null 2>&1

ip route add $P0_NET   dev $IF0 table $TBL1 > /dev/null 2>&1
ip route add $P2_NET   dev $IF2 table $TBL1 > /dev/null 2>&1
ip route add 127.0.0.0/8 dev lo  table $TBL1  > /dev/null 2>&1
ip route add $P0_NET   dev $IF0 table $TBL2 > /dev/null 2>&1
ip route add $P1_NET   dev $IF1 table $TBL2 > /dev/null 2>&1
ip route add 127.0.0.0/8 dev lo  table $TBL2 > /dev/null 2>&1

ip r del default

ip route add default scope global nexthop via $P1 dev $IF1 weight $W1 \
                                  nexthop via $P2 dev $IF2 weight $W2 

#echo "nameserver 192.168.1.1"  > /etc/resolv.conf
echo "nameserver 192.168.2.1"  >> /etc/resolv.conf

#cat /etc/firewall

SYSCTL="/sbin/sysctl -w"

# Required to enable IPv4 forwarding.
# Redhat users can try setting FORWARD_IPV4 in /etc/sysconfig/network to true
# Alternatively, it can be set in /etc/sysctl.conf
if [ "$SYSCTL" = "" ]
then
echo "1" > /proc/sys/net/ipv4/ip_forward
else
$SYSCTL net.ipv4.ip_forward="1"
fi

# This enables dynamic address hacking.
# This may help if you have a dynamic IP address \(e.g. slip, ppp, dhcp\).
if [ "$SYSCTL" = "" ]
then
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
else
$SYSCTL net.ipv4.ip_dynaddr="1"
fi

# This enables SYN flood protection.
# The SYN cookies activation allows your system to accept an unlimited
# number of TCP connections while still trying to give reasonable
# service during a denial of service attack.
if [ "$SYSCTL" = "" ]
then
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
else
$SYSCTL net.ipv4.tcp_syncookies="1"
fi

#rc.flush-iptables begin
#
# reset the default policies in the nat table.
#
iptables  -t nat -P PREROUTING ACCEPT
iptables  -t nat -P POSTROUTING ACCEPT
iptables  -t nat -P OUTPUT ACCEPT

#
# reset the default policies in the mangle table.
#
iptables  -t mangle -P PREROUTING ACCEPT
iptables  -t mangle -P OUTPUT ACCEPT

#
# flush all the rules in the filter and nat tables.
#
iptables  -F -v
iptables  -t nat -F -v
iptables  -t mangle -F -v
#
# erase all chains that's not default in filter and nat table.
#
iptables -X -v
iptables -t nat -X -v
iptables -t mangle -X -v
#rc.flush-iprables end

iptables -F -v
iptables -t nat -F -v

#Интерфейсы
LAN=eth1
WAN=eth0
WAN2=eth2

INT_NET=192.168.5.0/24


iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#http web server INPUT
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i $WAN -j ACCEPT -v
#http web server
iptables -A PREROUTING -t nat -i $WAN -p tcp --dport 80 -j DNAT --to 192.168.5.2:80 -v

#iptables -F FORWARD -v # На всякий случай очистим цепочку FORWARD
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m state --state NEW -i eth1 -s 192.168.5.0/24 -j ACCEPT # Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем.
iptables -t nat -F POSTROUTING -v # На всякий случай очистим цепочку POSTROUTING таблицы nat
#iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE # Маскарадим весь трафик, идущий через eth2
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 192.168.2.10 -v

#transparent proxy
echo "[+] Transparent proxy"
iptables -t nat -A PREROUTING -i $LAN -d ! $INT_NET -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.5.1:3128 -v

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -v

# Disabling SMB connections from eth0
iptables -A INPUT -i eth2 -p tcp --dport microsoft-ds -j DROP
iptables -A INPUT -i eth2 -p udp --dport microsoft-ds -j DROP

AnrDaemon · « **Ответ #77 :** 13 Ноября 2009, 19:17:40 »

Цитата: badfiles от 13 Ноября 2009, 15:32:00

Объясните пожалуйста, зачем нужны железные роутеры?

Роутер вовсе не обязательно коннектит что-то по VPN.
Он может просто стоять на стыке сетки провайдера и твоей собственной, служа дополнительным экраном от сетевых атак и изолируя твою сеть от посягательств извне.
Плюс роутера в том, что это такая маленькая коробочка, которую можно поставить где угодно.
У меня он висит на стене примерно в центре офиса, обеспечивая сразу и стык интернета с офисной локалкой и покрытие WiFi.

Tirael · « **Ответ #78 :** 13 Ноября 2009, 23:21:01 »

Цитата: AnrDaemon от 13 Ноября 2009, 19:17:40

Цитата: badfiles от 13 Ноября 2009, 15:32:00
Объясните пожалуйста, зачем нужны железные роутеры?

Роутер вовсе не обязательно коннектит что-то по VPN.
Он может просто стоять на стыке сетки провайдера и твоей собственной, служа дополнительным экраном от сетевых атак и изолируя твою сеть от посягательств извне.
Плюс роутера в том, что это такая маленькая коробочка, которую можно поставить где угодно.
У меня он висит на стене примерно в центре офиса, обеспечивая сразу и стык интернета с офисной локалкой и покрытие WiFi.

а без них не получится? типа один запрос с одного ипа, дркгой с другого... а то тратиться на них не хочется.
зы. это обычные роутеры? типа кабель совать в WAN, но к ВПН не коннектить? иль какие другие?

Nesmit · « **Ответ #79 :** 14 Ноября 2009, 00:00:00 »

фишка в том, что без проблем ты соединишь с локальной сетью все 4 сетевые, но маршрутизацию не настроишь. Шлюз один и тот же. А должны быть разные. Даже поднятие vpn погоды не сделает. Если только вдруг не окажется что они в разных сетях и у них разные шлюзы.

Цитата: Unreg от 13 Ноября 2009, 15:49:20

ругайте, где не верно
2 аппаратных маршрутизатора - ubuntu - lan
$ cat /etc/iproute2/rt_tables
(Нажмите, чтобы показать/скрыть)
#
# reserved values
#
255 local
254 main
253 default
1 provider1
2 provider2
0 unspec
#
# local
#
#1 inr.ruhep

(Нажмите, чтобы показать/скрыть)
Код: [Выделить]
#!/bin/bash # LAN interface IF0="192.168.5.1" # WAN interface 1 IF1="eth0" # WAN interface 2 IF2="eth2" #IP1="`ip addr show $IF1 | grep inet | awk '{print $2}'`" #IP1="`ifconfig ppp999 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $8}' | sed -e 's/addr://'`" #IP2=`ifconfig eth2 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}' | sed -e 's/addr://'` IP2="`ifconfig eth2 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}' | sed -e 's/addr://'`" IP1="`ifconfig eth0 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}' | sed -e 's/addr://'`" # gateway 1 #P1="`ifconfig ppp999 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $9}' | sed -e 's/P-t-P://'`" P1="192.168.1.1" # gateway 2 P2="192.168.2.1" # LAN netmask P0_NET="192.168.5.0/24" # WAN1 netmask P1_NET="192.168.1.0/24" # WAN2 netmask P2_NET="192.168.2.0/24" TBL1="provider1" TBL2="provider2" # Realtive weight of channels bandwidth W1="19" W2="1" ip route flush table $TBL1 #обнуляем первую таблицу маршрутов ip route flush table $TBL2 ip route flush cache ip rule delete table $TBL1 ip rule delete table $TBL2 ip rule delete table $TBL1 ip rule delete table $TBL2 ip route add $P1_NET dev $IF1 src $IP1 table $TBL2 > /dev/null 2>&1 ip route add default via $P1 table $TBL1 > /dev/null 2>&1 ip route add $P2_NET dev $IF2 src $IP2 table $TBL2 > /dev/null 2>&1 ip route add default via $P2 table $TBL2 > /dev/null 2>&1 ip route add $P1_NET dev $IF1 src $IP1 ip route add $P2_NET dev $IF2 src $IP2 ip rule add from $IP1 table $TBL1 > /dev/null 2>&1 ip rule add from $IP2 table $TBL2 > /dev/null 2>&1 ip route add $P0_NET dev $IF0 table $TBL1 > /dev/null 2>&1 ip route add $P2_NET dev $IF2 table $TBL1 > /dev/null 2>&1 ip route add 127.0.0.0/8 dev lo table $TBL1 > /dev/null 2>&1 ip route add $P0_NET dev $IF0 table $TBL2 > /dev/null 2>&1 ip route add $P1_NET dev $IF1 table $TBL2 > /dev/null 2>&1 ip route add 127.0.0.0/8 dev lo table $TBL2 > /dev/null 2>&1 ip r del default ip route add default scope global nexthop via $P1 dev $IF1 weight $W1 \ nexthop via $P2 dev $IF2 weight $W2 #echo "nameserver 192.168.1.1" > /etc/resolv.conf echo "nameserver 192.168.2.1" >> /etc/resolv.conf #cat /etc/firewall SYSCTL="/sbin/sysctl -w" # Required to enable IPv4 forwarding. # Redhat users can try setting FORWARD_IPV4 in /etc/sysconfig/network to true # Alternatively, it can be set in /etc/sysctl.conf if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/ip_forward else $SYSCTL net.ipv4.ip_forward="1" fi # This enables dynamic address hacking. # This may help if you have a dynamic IP address $e.g. slip, ppp, dhcp$. if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/ip_dynaddr else $SYSCTL net.ipv4.ip_dynaddr="1" fi # This enables SYN flood protection. # The SYN cookies activation allows your system to accept an unlimited # number of TCP connections while still trying to give reasonable # service during a denial of service attack. if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/tcp_syncookies else $SYSCTL net.ipv4.tcp_syncookies="1" fi #rc.flush-iptables begin # # reset the default policies in the nat table. # iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT # # reset the default policies in the mangle table. # iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT # # flush all the rules in the filter and nat tables. # iptables -F -v iptables -t nat -F -v iptables -t mangle -F -v # #rc.flush-iprables end iptables -F -v iptables -t nat -F -v #Интерфейсы LAN=eth1 WAN=eth0 WAN2=eth2 INT_NET=192.168.5.0/24 iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT #http web server INPUT iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i $WAN -j ACCEPT -v #http web server iptables -A PREROUTING -t nat -i $WAN -p tcp --dport 80 -j DNAT --to 192.168.5.2:80 -v #iptables -F FORWARD -v # На всякий случай очистим цепочку FORWARD iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем проходить пакетам по уже установленным соединениям iptables -A FORWARD -m state --state NEW -i eth1 -s 192.168.5.0/24 -j ACCEPT # Разрешаем исходящие соединения из локальной сети к интернет-хостам iptables -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем. iptables -t nat -F POSTROUTING -v # На всякий случай очистим цепочку POSTROUTING таблицы nat #iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE # Маскарадим весь трафик, идущий через eth2 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 192.168.2.10 -v #transparent proxy echo "[+] Transparent proxy" iptables -t nat -A PREROUTING -i $LAN -d ! $INT_NET -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.5.1:3128 -v iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -v # Disabling SMB connections from eth0 iptables -A INPUT -i eth2 -p tcp --dport microsoft-ds -j DROP iptables -A INPUT -i eth2 -p udp --dport microsoft-ds -j DROP

ip r del default -

??пропали буковки.

а следующее зачем?
по два раза одно и то же + контрольный в голову. затирание всего предыдущего?

Цитировать

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#
# reset the default policies in the mangle table.
#
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#
# flush all the rules in the filter and nat tables.
#
iptables -F -v
iptables -t nat -F -v
iptables -t mangle -F -v
#

обратите внимание

Цитировать

ip route add $P1_NET dev $IF1 src $IP1 table $TBL2 > /dev/null 2>&1
ip route add default via $P1 table $TBL1 > /dev/null 2>&1

ip route add $P2_NET dev $IF2 src $IP2 table $TBL2 > /dev/null 2>&1
ip route add default via $P2 table $TBL2 > /dev/null 2>&1

Код: [Выделить]

echo "1" > /proc/sys/net/ipv4/ip_forward разве этого не достаточно? зачем проверять?

Чет мне кажется какая то мешанина. Надергали кусками из разных источников, некоторые правила дублируются.
Порядок забивки таблицы перемешан. Работать будет, но неудобно читать. default gw задается раньше чем остальные сети.

Tirael · « **Ответ #80 :** 14 Ноября 2009, 00:09:27 »

Цитата: Nesmit от 14 Ноября 2009, 00:00:00

Шлюз один и тот же. А должны быть разные

а что нить виртуальное создать нельзя? типа 4 разныз ипа, которые обращаются к одному реальному шлюзу?

AnrDaemon · « **Ответ #81 :** 14 Ноября 2009, 00:11:04 »

Цитата: Tirael от 13 Ноября 2009, 23:21:01

Цитата: AnrDaemon от 13 Ноября 2009, 19:17:40
Цитата: badfiles от 13 Ноября 2009, 15:32:00
Объясните пожалуйста, зачем нужны железные роутеры?

Роутер вовсе не обязательно коннектит что-то по VPN.
Он может просто стоять на стыке сетки провайдера и твоей собственной, служа дополнительным экраном от сетевых атак и изолируя твою сеть от посягательств извне.
Плюс роутера в том, что это такая маленькая коробочка, которую можно поставить где угодно.
У меня он висит на стене примерно в центре офиса, обеспечивая сразу и стык интернета с офисной локалкой и покрытие WiFi.

а без них не получится? типа один запрос с одного ипа, дркгой с другого... а то тратиться на них не хочется.
зы. это обычные роутеры? типа кабель совать в WAN, но к ВПН не коннектить? иль какие другие?

А вы вообще представляете, как работает Internet Protocol Stack? Как осуществляется маршрутизация... итд.

Tirael · « **Ответ #82 :** 14 Ноября 2009, 00:17:58 »

Цитата: AnrDaemon от 14 Ноября 2009, 00:11:04

А вы вообще представляете, как работает Internet Protocol Stack? Как осуществляется маршрут

ну честно говоря только с практической точки зрения - типа: нажал на газ, машина поехала. а что там в этой коробке -автомате понапихали не знаю, знаю только умное слово "гидротрансформатор"

вот примерно так и тут...

Nesmit · « **Ответ #83 :** 14 Ноября 2009, 11:21:26 »

Кто то предлагал взять свитч с VLAN и сетевую с поддержкой этой функции.

badfiles · « **Ответ #84 :** 14 Ноября 2009, 13:52:48 »

а разве vlan не программно реализован в драйвере? я никогда не задумывался, поддерживает ли сетевуха vlan, просто ставил пакет vlan и прописывал интерфейсы через точку.

Unreg · « **Ответ #85 :** 14 Ноября 2009, 14:35:34 »

Код: [Выделить]

ip route add $P1_NET dev $IF1 src $IP1 table $TBL2 > /dev/null 2>&1
ip route add default via $P1 table $TBL1 > /dev/null 2>&1

ip route add $P2_NET dev $IF2 src $IP2 table $TBL2 > /dev/null 2>&1
ip route add default via $P2 table $TBL2 > /dev/null 2>&1

вот это дико ступил, спасибо

Цитировать

ip r del default - ??пропали буковки.

не совсем понятно удивление

$ ip r

Цитировать

192.168.5.0/24 dev eth1 proto kernel scope link src 192.168.5.1
192.168.2.0/24 dev eth2 proto kernel scope link src 192.168.2.10
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.15
169.254.0.0/16 dev eth1 scope link metric 1000
default
nexthop via 192.168.1.1 dev eth0 weight 19
nexthop via 192.168.2.1 dev eth2 weight 1

$ sudo ip r del default

$ ip r

Цитировать

192.168.5.0/24 dev eth1 proto kernel scope link src 192.168.5.1
192.168.2.0/24 dev eth2 proto kernel scope link src 192.168.2.10
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.15
169.254.0.0/16 dev eth1 scope link metric 1000

лишний раз почистить netfilter перед загрузкой правил - что тут плохого...

Цитировать

default gw задается раньше чем остальные сети

это откуда такое видно ?

Nesmit · « **Ответ #86 :** 14 Ноября 2009, 18:02:12 »

Цитата: badfiles от 14 Ноября 2009, 13:52:48

а разве vlan не программно реализован в драйвере? я никогда не задумывался, поддерживает ли сетевуха vlan, просто ставил пакет vlan и прописывал интерфейсы через точку.

Да, можно. Но как это выглядит мне неизвестно.

Цитата: Unreg от 14 Ноября 2009, 14:35:34

...
Цитировать
ip r del default - ??пропали буковки.
не совсем понятно удивление
...
лишний раз почистить netfilter перед загрузкой правил - что тут плохого...

Цитировать
default gw задается раньше чем остальные сети
это откуда такое видно ?

ip r - не знал что так можно

нормально, но как то странно. Мне кажется достаточно выстрела в голову.

сначала ты забиваешь

Цитировать

ip route add $P1_NET dev $IF1 src $IP1 table $TBL2 > /dev/null 2>&1
ip route add default via $P1 table $TBL1 > /dev/null 2>&1

ip route add $P2_NET dev $IF2 src $IP2 table $TBL2 > /dev/null 2>&1
ip route add default via $P2 table $TBL2 > /dev/null 2>&1

а через несколько точек:

Цитировать

ip route add $P0_NET dev $IF0 table $TBL1 > /dev/null 2>&1
ip route add $P2_NET dev $IF2 table $TBL1 > /dev/null 2>&1
ip route add 127.0.0.0/8 dev lo table $TBL1 > /dev/null 2>&1

ip route add $P0_NET dev $IF0 table $TBL2 > /dev/null 2>&1
ip route add $P1_NET dev $IF1 table $TBL2 > /dev/null 2>&1
ip route add 127.0.0.0/8 dev lo table $TBL2 > /dev/null 2>&1

Не думаю что это помешает работе.

badfiles · « **Ответ #87 :** 14 Ноября 2009, 19:33:03 »

Всё, я окончательно впал в ступор. Я совершенно точно что-то упускаю в теории, по-этому не могу ничего добиться на практике. Пожалуйста, объясните мне наконец, что еще надо сделать, чтобы эта шарманка заработала.

Итак, предельно упрощаем ситуацию.

ip route list table main
10.64.64.64 dev ppp0 proto kernel scope link src 172.19.106.144
172.22.22.0/24 dev eth0 proto kernel scope link src 172.22.22.22
default via 172.22.22.2 dev eth0

ip route list table T1
10.64.64.64 dev ppp0 scope link src 172.19.106.144
172.22.22.0/24 dev eth0 scope link src 172.22.22.22
127.0.0.0/8 dev lo scope link
default via 172.22.22.2 dev eth0

ip route list table T2
10.64.64.64 dev ppp0 scope link src 172.19.106.144
172.22.22.0/24 dev eth0 scope link src 172.22.22.22
127.0.0.0/8 dev lo scope link
default via 10.64.64.64 dev ppp0

ip rule list
0:   from all lookup local
32762:   from all fwmark 0xde lookup T2
32763:   from all fwmark 0x6f lookup T1
32764:   from 172.19.106.144 lookup T2
32765:   from 172.22.22.22 lookup T1
32766:   from all lookup main
32767:   from all lookup default

таблица mangle
Chain OUTPUT (policy ACCEPT 29379 packets, 1773K bytes)
pkts bytes target prot opt in out source destination
   9 540 MARK tcp -- any any anywhere anywhere tcp dpt:https MARK xset 0xde/0xffffffff

таблица nat
Chain POSTROUTING (policy ACCEPT 106 packets, 6440 bytes)
pkts bytes target prot opt in out source destination
   5 300 SNAT all -- any any anywhere anywhere mark match 0xde to:172.19.106.144

все остальное в акцепт.

8   20.997404   172.19.106.144   94.25.208.252   TCP   39729 > https [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=984384 TSER=0 WS=6
9   21.809393   94.25.208.252   172.19.106.144   TCP   https > 39729 [SYN, ACK] Seq=4164072487 Ack=1 Win=8190 Len=0 MSS=1380
и на этом финиш, все начинается с начала

Почему я не получаю обратный пакет, а?

PS.
Так выглядят пакеты, если поменять в схеме ТОЛЬКО дефолт роут в таблице main на 10.64.64.64

14   1722.582111   172.19.106.144   94.25.208.252   TCP   57112 > https [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1409780 TSER=0 WS=6
15   1723.141393   94.25.208.252   172.19.106.144   TCP   https > 57112 [SYN, ACK] Seq=0 Ack=1 Win=8190 Len=0 MSS=1380
16   1723.141426   172.19.106.144   94.25.208.252   TCP   57112 > https [ACK] Seq=1 Ack=1 Win=5840 Len=0
17   1762.553447   172.19.106.144   94.25.208.252   SSL   Continuation Data
18   1765.553405   172.19.106.144   94.25.208.252   SSL   [TCP Retransmission] Continuation Data
19   1766.121389   94.25.208.252   172.19.106.144   TCP   https > 57112 [RST] Seq=1 Win=9838 Len=0

fhieos · « **Ответ #88 :** 15 Ноября 2009, 20:34:41 »

Цитата: badfiles от 14 Ноября 2009, 19:33:03

Всё, я окончательно впал в ступор. Я совершенно точно что-то упускаю в теории, по-этому не могу ничего добиться на практике. Пожалуйста, объясните мне наконец, что еще надо сделать, чтобы эта шарманка заработала.

Я не совсем понимаю, что именно ты хочешь сделать
Посмотрел твои сообщения в этой ветке с самого первого, но исходных данных ты не обозначал, только выводы ip ro, ip ru

По выводам tcpdump я ничего неправильного не вижу, поскольку нет постановки задачи
Когда ломал голову со своей конфигурацией, я ловил *все* пакеты со *всех* интерфейсов, где явно были видны пакеты с флагом R (reset), после ответа клиенту с неправильного интерфейса.

Nesmit · « **Ответ #89 :** 15 Ноября 2009, 20:58:39 »

то же не совсем понимаю. лучше приведи скрипты полностью

Форум русскоязычного сообщества Ubuntu

Автор Тема: IPROUTE2 + 2 провайдера (Прочитано 53311 раз)

badfiles

Re: IPROUTE2 + 2 провайдера

Unreg

Re: IPROUTE2 + 2 провайдера

AnrDaemon

Re: IPROUTE2 + 2 провайдера

Tirael

Re: IPROUTE2 + 2 провайдера

Nesmit

Re: IPROUTE2 + 2 провайдера

Tirael

Re: IPROUTE2 + 2 провайдера

AnrDaemon

Re: IPROUTE2 + 2 провайдера

Tirael

Re: IPROUTE2 + 2 провайдера

Nesmit

Re: IPROUTE2 + 2 провайдера

badfiles

Re: IPROUTE2 + 2 провайдера

Unreg

Re: IPROUTE2 + 2 провайдера

Nesmit

Re: IPROUTE2 + 2 провайдера

badfiles

Re: IPROUTE2 + 2 провайдера

fhieos

Re: IPROUTE2 + 2 провайдера

Nesmit

Re: IPROUTE2 + 2 провайдера