LINUX.ORG.RU
ФорумAdmin

Centos7 + iptables + iproute2 и 4 внешних канала: проблема с доступом к локальным сервисам

 , ,


0

1

Выделено из темы Проблемы с настройкой маршрутизации в Centos7 - 3 внешних канала для более точной формализации проблемы

Дано Сервер с Centos7 x86-64, куча сетевых карт.

основная функция - маршрутизатор + NAT + FW + openvpn; а также локальные сервисы - почта, bind и прочее; внешних каналов 4шт, один основной и 3 дополнительных;

в локальной сети есть сервера c сервисами доступ к которым идет через NAT;

для реализации данного функционала настроен iptables+iproute2

доступ через NAT работает без проблем и тут всё хорошо. проблема с доступом к локальным сервисам через резервные каналы

изучение документации дало понимание того, что многое скрыто - ну вот как пример: проход первого пакета транзитом (наименования цепочек буду сокращать)

man:pre  
nat:pre
man:for
fil:for
man:post
nat:post
всё по схемам

а вот второй и следующие идут уже по сокращенному пути:

man:pre  
man:for
fil:for
man:post
теперь к проблеме

отправляю запрос к локальному сервису на 4й резерв он проходит

man:pre
nat:pre 
и все - исчезает!

те он должен появится в man:input, но видимо на этапе routing declision он убивается

цель понять почему и как это исправить

подробная информация о конфигурации

табличка резерва

ip route add DDD.DDD.DDD.0      dev ens1f1 src DDD.DDD.DDD.24   table T4 >/dev/null
ip route add 192.168.0.0/24   dev enp3s0 src 192.168.0.1    table T4 >/dev/null
ip route add 127.0.0.0/8      dev lo                        table T4 >/dev/null
ip route add default via DDD.DDD.DDD.1                        table T4 >/dev/null
main
ip route add  AAA.AAA.AAA.AAA    dev ens2f0 src AAA.AAA.AAA.1   >/dev/null
ip route add BBB.BBB.BBB.BBB       dev ens2f1 src BBB.BBB.BBB.1 >/dev/null
ip route add DDD.DDD.DDD.DDD       dev ens1f1 src DDD.DDD.DDD.1    >/dev/null
ip route add CCC.CCC.CCC.CCC/29 dev ens1f0 src CCC.CCC.CCC.CCC  >/dev/null
ip route add default via  CCC.CCC.CCC.CCC metric 99 >/dev/null
из негативных факторов которые могут вмешиваться в маршрутизацию - на сервере установлен openvpn-сервер его для теста выключал, но проблема не решалась.

вопрос - как проводить дальнейшую диагностику ? те как отловить почему пакет был убит на routing declision ?

таблицы raw и security имеют политику accept аналогично и ebtables arptables не установлено

тк сейчас на 4ом канале-резерве нет ничего критичного то я могу проводить на нем любые эксперименты. что опробовал

1. DNAT на локальные интерфейсы - пофиг. пакет не доходит до man:input

2. явное указание

ip rule add to   DDD.DDD.DDD.24    fwmark 0x400 table T4 >/dev/null
ip rule add from DDD.DDD.DDD.24    fwmark 0x400 table T4 >/dev/null

тоже пофиг

Касаемо самой настройки iproute2 - опыт есть, те у меня до этого все работало на Centos4 с 2005ого, но вот сейчас что-то поменялось. прошу помочь найти где зарыта собака.

подробности

#ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:19:bb:3e:2e:f0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global enp3s0
       valid_lft forever preferred_lft forever
    inet6 fe80::219:bbff:fe3e:2ef0/64 scope link
       valid_lft forever preferred_lft forever
3: enp5s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN qlen 1000
    link/ether 00:19:bb:3e:2e:da brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.1/24 brd 192.168.3.255 scope global enp5s0
       valid_lft forever preferred_lft forever
4: ens1f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 6c:b3:11:31:d6:6a brd ff:ff:ff:ff:ff:ff
    inet ССС.CCC.CCC.57/29 brd ССС.CCC.CCC.63 scope global ens1f0
       valid_lft forever preferred_lft forever
    inet ССС.CCC.CCC.58/29 brd ССС.CCC.CCC.63 scope global secondary ens1f0
       valid_lft forever preferred_lft forever
    inet ССС.CCC.CCC.59/29 brd ССС.CCC.CCC.63 scope global secondary ens1f0
       valid_lft forever preferred_lft forever
    inet ССС.CCC.CCC.60/29 brd ССС.CCC.CCC.63 scope global secondary ens1f0
       valid_lft forever preferred_lft forever
    inet ССС.CCC.CCC.61/29 brd ССС.CCC.CCC.63 scope global secondary ens1f0
       valid_lft forever preferred_lft forever
    inet6 fe80::6eb3:11ff:fe31:d66a/64 scope link
       valid_lft forever preferred_lft forever
5: ens1f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 6c:b3:11:31:d6:6b brd ff:ff:ff:ff:ff:ff
    inet DDD.DDD.DDD.24/24 brd DDD.DDD.DDD.255 scope global ens1f1
       valid_lft forever preferred_lft forever
    inet6 fe80::6eb3:11ff:fe31:d66b/64 scope link
       valid_lft forever preferred_lft forever
6: ens2f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 6c:b3:11:31:d5:50 brd ff:ff:ff:ff:ff:ff
    inet AAA.AAA.AAA.218/27 brd AAA.AAA.AAA.223 scope global ens2f0
       valid_lft forever preferred_lft forever
    inet6 fe80::6eb3:11ff:fe31:d550/64 scope link
       valid_lft forever preferred_lft forever
7: ens2f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 6c:b3:11:31:d5:51 brd ff:ff:ff:ff:ff:ff
    inet BBB.BBB.BBB.70/24 brd BBB.BBB.BBB.255 scope global ens2f1
       valid_lft forever preferred_lft forever
    inet6 fe80::6eb3:11ff:fe31:d551/64 scope link
       valid_lft forever preferred_lft forever
10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 192.168.1.1 peer 192.168.1.2/32 scope global tun0
       valid_lft forever preferred_lft forever
Nagisa ()

AAA.AAA.AAA - 1й канал - резерв BBB.BBB.BBB - 2й канал - резерв ССС.CCC.CCC - 3й канал - основной DDD.DDD.DDD - 4й канал - резерв

# ip rule

0:      from all lookup local
...
32754:  from 192.168.0.53 lookup T4
32755:  from 192.168.0.52 lookup T2
32756:  from 192.168.0.51 lookup T0
32757:  from 192.168.0.50 lookup T3
...
32766:  from all lookup main
32767:  from all lookup default

# ip route

default via CCC.CCC.CCC.62 dev ens1f0 metric 99
AAA.AAA.AAA.192 dev ens2f0 scope link src AAA.AAA.AAA.218
AAA.AAA.AAA.192/27 dev ens2f0 proto kernel scope link src AAA.AAA.AAA.218 metric 100
BBB.BBB.BBB.0 dev ens2f1 scope link src BBB.BBB.BBB.70
BBB.BBB.BBB.0/24 dev ens2f1 proto kernel scope link src BBB.BBB.BBB.70 metric 100
DDD.DDD.DDD.0 dev ens1f1 scope link src DDD.DDD.DDD.24
DDD.DDD.DDD.0/24 dev ens1f1 proto kernel scope link src DDD.DDD.DDD.24 metric 100
CCC.CCC.CCC.56/29 dev ens1f0 scope link src CCC.CCC.CCC.57
CCC.CCC.CCC.56/29 dev ens1f0 proto kernel scope link src CCC.CCC.CCC.57 metric 100
192.168.0.0/24 dev enp3s0 proto kernel scope link src 192.168.0.1 metric 100
192.168.1.0/24 via 192.168.1.2 dev tun0
192.168.1.2 dev tun0 proto kernel scope link src 192.168.1.1
192.168.3.0/24 dev enp5s0 proto kernel scope link src 192.168.3.1 metric 100
192.168.9.0/24 via 192.168.1.2 dev tun0

# ip route show table T0
default via AAA.AAA.AAA.193 dev ens2f0
AAA.AAA.AAA.192 dev ens2f0 scope link src AAA.AAA.AAA.218
127.0.0.0/8 dev lo scope link
192.168.0.0/24 dev enp3s0 scope link src 192.168.0.1
192.168.1.0/24 dev tun0 scope link src 192.168.1.1
192.168.9.0/24 dev tun0 scope link src 192.168.1.1
 

# ip route show table T2
default via BBB.BBB.BBB.1 dev ens2f1
BBB.BBB.BBB.0 dev ens2f1 scope link src BBB.BBB.BBB.70
127.0.0.0/8 dev lo scope link
192.168.0.0/24 dev enp3s0 scope link src 192.168.0.1
192.168.1.0/24 dev tun0 scope link src 192.168.1.1
192.168.9.0/24 dev tun0 scope link src 192.168.1.1
 

# ip route show table T3
default via CCC.CCC.CCC.62 dev ens1f0
127.0.0.0/8 dev lo scope link
192.168.0.0/24 dev enp3s0 scope link src 192.168.0.1
192.168.1.0/24 dev tun0 scope link src 192.168.1.1
192.168.9.0/24 dev tun0 scope link src 192.168.1.1
 
# ip route show table T4
default via DDD.DDD.DDD.1 dev ens1f1
DDD.DDD.DDD.0 dev ens1f1 scope link src DDD.DDD.DDD.24
127.0.0.0/8 dev lo scope link
192.168.0.0/24 dev enp3s0 scope link src 192.168.0.1
192.168.1.0/24 dev tun0 scope link src 192.168.1.1
192.168.9.0/24 dev tun0 scope link src 192.168.1.1
 
Nagisa ()

AAA.AAA.AAA - 1й канал - резерв BBB.BBB.BBB - 2й канал - резерв ССС.CCC.CCC - 3й канал - основной DDD.DDD.DDD - 4й канал - резерв

# iptables-save
# Generated by iptables-save v1.4.21 on Tue Jul 30 22:28:27 2019
*nat
:PREROUTING ACCEPT [3265423:227477416]
:INPUT ACCEPT [372344:26628176]
:OUTPUT ACCEPT [417927:33089135]
:POSTROUTING ACCEPT [945046:64224403]
-A PREROUTING -m mark --mark 0x400 -j LOG --log-prefix "NAT:PREROUTING:0x400:ALL:"
-A PREROUTING -d CCC.CCC.CCC.60/32 -i ens1f0 -p tcp -m tcp --dport 24554 -j DNAT --to-destination 192.168.0.70:24554
-A PREROUTING -d AAA.AAA.AAA.218/32 -i ens2f0 -p tcp -m tcp --dport 24554 -j DNAT --to-destination 192.168.0.71:24554
-A PREROUTING -d BBB.BBB.BBB.70/32 -i ens2f1 -p tcp -m tcp --dport 24554 -j DNAT --to-destination 192.168.0.72:24554
-A PREROUTING -d DDD.DDD.DDD.24/32 -i ens1f1 -p tcp -m tcp --dport 24554 -j DNAT --to-destination 192.168.0.73:24554
...
-A PREROUTING -d BBB.BBB.BBB.70/32 -i ens2f1 -p tcp -m tcp --dport 32400 -j DNAT --to-destination 192.168.0.52:32400
-A PREROUTING -d DDD.DDD.DDD.24/32 -i ens1f1 -p tcp -m tcp --dport 32400 -j DNAT --to-destination 192.168.0.53:32400
-A PREROUTING -m mark --mark 0x400 -j LOG --log-prefix "NAT:PREROUTING:0x400:ALL:exit"
-A POSTROUTING -m mark --mark 0x400 -j LOG --log-prefix "NAT:POSTROUTING:0x400:ALL:"
-A POSTROUTING -s 192.168.0.3/32 -o ens1f0 -j SNAT --to-source CCC.CCC.CCC.60
...
-A POSTROUTING -s 192.168.0.128/25 -o ens1f0 -j SNAT --to-source CCC.CCC.CCC.60
-A POSTROUTING -o ens2f0 -m mark --mark 0x100 -j SNAT --to-source AAA.AAA.AAA.218
-A POSTROUTING -o ens2f1 -m mark --mark 0x200 -j SNAT --to-source BBB.BBB.BBB.70
-A POSTROUTING -o ens1f1 -m mark --mark 0x400 -j SNAT --to-source DDD.DDD.DDD.24
-A POSTROUTING -o ens1f0 -m mark --mark 0x300 -j SNAT --to-source CCC.CCC.CCC.58
-A POSTROUTING -o ens1f0 -m mark --mark 0x357 -j SNAT --to-source CCC.CCC.CCC.57
-A POSTROUTING -o ens1f0 -m mark --mark 0x358 -j SNAT --to-source CCC.CCC.CCC.58
-A POSTROUTING -o ens1f0 -m mark --mark 0x359 -j SNAT --to-source CCC.CCC.CCC.59
-A POSTROUTING -o ens1f0 -m mark --mark 0x360 -j SNAT --to-source CCC.CCC.CCC.60
-A POSTROUTING -o ens1f0 -m mark --mark 0x361 -j SNAT --to-source CCC.CCC.CCC.61
COMMIT
# Completed on Tue Jul 30 22:28:27 2019
# Generated by iptables-save v1.4.21 on Tue Jul 30 22:28:27 2019
*filter
:INPUT DROP [388315:26815541]
:FORWARD DROP [8:356]
:OUTPUT ACCEPT [12870667:2761221438]
-A INPUT -m mark --mark 0x400 -j LOG --log-prefix "FILTER:INPUT:0x400:ALL:"
-A INPUT -i enp3s0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d AAA.AAA.AAA.218/32 -i ens2f0 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -d BBB.BBB.BBB.70/32 -i ens2f1 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -d DDD.DDD.DDD.24/32 -i ens1f1 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -d CCC.CCC.CCC.59/32 -i ens1f0 -p tcp -m tcp --dport 995 -j ACCEPT
...
-A INPUT -p tcp -m tcp --dport 5000 -j ACCEPT
-A INPUT -d 224.0.0.0/4 -j ACCEPT
-A INPUT -s 224.0.0.0/4 -j ACCEPT
-A FORWARD -m mark --mark 0x400 -j LOG --log-prefix "FILTER:FORWARD:0x400:ALL:"
-A FORWARD -i enp3s0 -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT
-A FORWARD -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED -j ACCEPT
-A FORWARD -d 192.168.0.70/32 -p tcp -m tcp --dport 24554 -j ACCEPT
...
-A FORWARD -d 192.168.0.73/32 -p udp -m udp --dport 50000 -j ACCEPT
-A FORWARD -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -s 224.0.0.0/4 -j ACCEPT
COMMIT
# Completed on Tue Jul 30 22:28:27 2019
# Generated by iptables-save v1.4.21 on Tue Jul 30 22:28:27 2019
*mangle
:PREROUTING ACCEPT [235865693:401138607317]
:INPUT ACCEPT [19187851:17739941800]
:FORWARD ACCEPT [216100118:383356720702]
:OUTPUT ACCEPT [12870710:2761232006]
:POSTROUTING ACCEPT [228981893:386118580064]
-A PREROUTING -s 91.195.101.150/32 -i ens1f1 -j MARK --set-xmark 0x400/0xffffffff
-A PREROUTING -m mark --mark 0x400 -j LOG --log-prefix "MANGLE:PREROUTING:0x400:BEGIN"
-A PREROUTING -d AAA.AAA.AAA.218/32 -i ens2f0 -j MARK --set-xmark 0x100/0xffffffff
-A PREROUTING -d BBB.BBB.BBB.70/32 -i ens2f1 -j MARK --set-xmark 0x200/0xffffffff
-A PREROUTING -d CCC.CCC.CCC.57/32 -i ens1f0 -j MARK --set-xmark 0x357/0xffffffff
-A PREROUTING -d CCC.CCC.CCC.58/32 -i ens1f0 -j MARK --set-xmark 0x358/0xffffffff
-A PREROUTING -d CCC.CCC.CCC.59/32 -i ens1f0 -j MARK --set-xmark 0x359/0xffffffff
-A PREROUTING -d CCC.CCC.CCC.60/32 -i ens1f0 -j MARK --set-xmark 0x360/0xffffffff
-A PREROUTING -d CCC.CCC.CCC.61/32 -i ens1f0 -j MARK --set-xmark 0x361/0xffffffff
-A INPUT -m mark --mark 0x400 -j LOG --log-prefix "MANGLE:INPUT:0x400:ALL:"
-A FORWARD -m mark --mark 0x400 -j LOG --log-prefix "MANGLE:FORWARD:0x400:ALL:"
-A OUTPUT -m mark --mark 0x400 -j LOG --log-prefix "MANGLE:OUTPUT:0x400:ALL:"
-A OUTPUT -d 89.105.147.125/32 -j MARK --set-xmark 0x100/0xffffffff
-A OUTPUT -d 5.189.195.1/32 -j MARK --set-xmark 0x100/0xffffffff
-A OUTPUT -d 89.105.128.72/32 -j MARK --set-xmark 0x200/0xffffffff
-A OUTPUT -d 89.105.128.74/32 -j MARK --set-xmark 0x200/0xffffffff
-A OUTPUT -d 86.110.161.173/32 -j MARK --set-xmark 0x200/0xffffffff
-A OUTPUT -d 86.110.181.14/32 -j MARK --set-xmark 0x200/0xffffffff
-A OUTPUT -d 80.65.20.1/32 -j MARK --set-xmark 0x300/0xffffffff
-A OUTPUT -d 80.65.16.1/32 -j MARK --set-xmark 0x300/0xffffffff
-A OUTPUT -d 84.22.140.90/32 -j MARK --set-xmark 0x400/0xffffffff
-A OUTPUT -d 84.22.140.1/32 -j MARK --set-xmark 0x400/0xffffffff
-A OUTPUT -d 80.65.16.29/32 -j MARK --set-xmark 0x359/0xffffffff
-A OUTPUT -d 91.199.244.74/32 -j MARK --set-xmark 0x359/0xffffffff
-A OUTPUT -d 195.80.228.2/32 -j MARK --set-xmark 0x359/0xffffffff
-A OUTPUT -d 91.199.244.21/32 -j MARK --set-xmark 0x359/0xffffffff
-A OUTPUT -s AAA.AAA.AAA.218/32 -j MARK --set-xmark 0x100/0xffffffff
-A OUTPUT -s BBB.BBB.BBB.70/32 -j MARK --set-xmark 0x200/0xffffffff
-A OUTPUT -s DDD.DDD.DDD.24/32 -j MARK --set-xmark 0x400/0xffffffff
-A OUTPUT -s CCC.CCC.CCC.58/32 -j MARK --set-xmark 0x300/0xffffffff
-A OUTPUT -s CCC.CCC.CCC.57/32 -j MARK --set-xmark 0x357/0xffffffff
-A OUTPUT -s CCC.CCC.CCC.58/32 -j MARK --set-xmark 0x358/0xffffffff
-A OUTPUT -s CCC.CCC.CCC.59/32 -j MARK --set-xmark 0x359/0xffffffff
-A OUTPUT -s CCC.CCC.CCC.60/32 -j MARK --set-xmark 0x360/0xffffffff
-A OUTPUT -s CCC.CCC.CCC.61/32 -j MARK --set-xmark 0x361/0xffffffff
-A POSTROUTING -m mark --mark 0x400 -j LOG --log-prefix "MANGLE:POSTROUTING:0x400:ALL:"
COMMIT
# Completed on Tue Jul 30 22:28:27 2019
Nagisa ()
Ответ на: комментарий от Nagisa

Один вопрос, а что скрывается за "..." в выхлопе ip rule ? Или мы по вашему мнению должны сами догадаться?

anc ★★★★★ ()
Ответ на: комментарий от anc

А в целом это какая-то каша. Уважаемый vel много раз говорил здесь:

проверка прямых маршрутов (table main) обязательно идет сразу после table local! В main не долно быть маршрута по-умолчанию!!!

Вот здесь его объяснение Маршрутизация маркированных iptables пакетов. (комментарий)

anc ★★★★★ ()
Ответ на: комментарий от anc

изучил

идея с переносом main вверх понятна, но не является решением моей проблемы ибо у меня статические маршруты продублированы в таблицы. да и с ними-то проблем нет. вот потом, да стоит заняться оптимизацией.

за точками "..." cкрывается дублирование - те ничего принципиального

вопрос открытый:

как проводить дальнейшую диагностику ? те как отловить почему пакет был убит на routing declision ?

Nagisa ()
Ответ на: комментарий от Nagisa

за точками "..." cкрывается дублирование - те ничего принципиального

wut? Повторюсь, мы не телепаты что бы догадаться какие правила для маркировки срабатывают. Вы не показали этого. Маркировка пакетов есть, но куда уходит мы не знаем.

anc ★★★★★ ()
Ответ на: комментарий от Nagisa

идея с переносом main вверх понятна,

Вы точно прочитали это?

В main не долно быть маршрута по-умолчанию!!!


проблем нет

А тогда о чем тема, если проблем нет? :)

anc ★★★★★ ()
Ответ на: комментарий от anc

нет проблем

# ip rule
0:      from all lookup local
32728:  from all to NNN.NNN.NNN.21 fwmark 0x359 lookup T3
32729:  from NNN.NNN.NNN.21 fwmark 0x359 lookup T3
32730:  from all to SSS.SSS.SSS.19 fwmark 0x359 lookup T3
32731:  from SSS.SSS.SSS.19 fwmark 0x359 lookup T3
...
32754:  from 192.168.0.53 lookup T4
32755:  from 192.168.0.52 lookup T2
32756:  from 192.168.0.51 lookup T0
32757:  from 192.168.0.50 lookup T3
32758:  from 192.168.0.83 lookup T4
32759:  from 192.168.0.82 lookup T2
32760:  from 192.168.0.81 lookup T0
32761:  from 192.168.0.80 lookup T3
32762:  from 192.168.0.73 lookup T4
32763:  from 192.168.0.72 lookup T2
32764:  from 192.168.0.71 lookup T0
32765:  from 192.168.0.70 lookup T3
32766:  from all lookup main

где NNN SSS статические маршруты к DNS серверам

Nagisa ()
Ответ на: комментарий от Nagisa

Судя по тому что prio не используется при добавление правил. В этом промежутке
32731: from SSS.SSS.SSS.19 fwmark 0x359 lookup T3
...
32754: from 192.168.0.53 lookup T4
Тоже есть какие-то ещё правила.

Но честно говоря, вашу кашу переваривать крайне лениво. Ещё раз кастану vel может вы что-то скажите?

anc ★★★★★ ()
Ответ на: комментарий от anc

В main не долно быть маршрута по-умолчанию!!!

согласен если main идет так

0:      from all lookup local 
128:    from all lookup main 
и если в main есть dgw, то первое обращение к ней даст маршрут и все остальные правила не будут работать.

у меня main в конце

32766:  from all lookup main

собственно я пробовал сделать всё как в рекомендации - те main поднять и в конец засунуть

32766:  from all lookup  lookup T3
ситуация не изменилась те ресурсы внутри сети благополучно доступны как и было и NAT работает но вот локальные ресурсы сервера-маршрутизатора нет

я вот и спрашиваю как понять куда пакет девается ? те лог включить или еще как ?

Nagisa ()
Ответ на: комментарий от anc

Тоже есть какие-то ещё правила.

есть конечно - но я же пишу, что это повторы типа

32730:  from all to SSS.SSS.SSS.19 fwmark 0x359 lookup T3
32731:  from SSS.SSS.SSS.19 fwmark 0x359 lookup T3

Но честно говоря, вашу кашу переваривать крайне лениво

так я и не предлагал разбирать все мои правила я задавал вопрос - как разобраться в диагностике? с iptables понятно - там метки и лог, а вот iproute ?

важный момент - все правила прекрасно работали на Centos4, но не работают на Centos7. хочу понять, что именно поменялось и исправить.

второй вариант ответа - пример правильной настройки с двумя каналами и маршрутизацией к локальным ресурсам сервера-маршрутизатора;

и да, у меня там OpenVPN стоит, который точно влияет на работу iproute

Nagisa ()
Ответ на: комментарий от mky

Оргомное спасибо! это то что надо!!!! Всё заработало!

на всякий случай оставлю - выключение rp_filter для всех интерфейсов:

for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
  echo 0 > $i 
done

Nagisa ()
Ответ на: комментарий от Nagisa

Тоже, на всякий случай оставлю здесь.

ЕМНИП, достаточно conf/all/rp_filter и conf/default/rp_filter. И, по фен шую это нужно было прописывать в /etc/sysctl.conf, чтобы другой админ сразу смотрел в этот файл, а не искал откуда запускается скрипт, делающий echo > /proc/...

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.