fwmark - отказывается работать! (iproute)

0

0

уже выбился из сил - немогу понять в чем грабли, чувствую что где-то рядом но немогу ухватиться....

задача маркировать пакеты приходящие из инета через интерфейс eth0 на 201.211.50.1 для того чтобы они возвращались также через eth0, для этого сделал:

#ip rule ls

0: from all lookup local
1000: from all fwmark 0x5 lookup eth0.out
32766: from all lookup main
32767: from all lookup default

#ip route sh table eth0.out
default via 197.54.13.113 dev eth0

#iptables -t mangle -nvxL PREROUTING
pkts bytes target prot opt in out source destination
33 2726 CONNMARK all -- eth0 * 0.0.0.0/0 201.211.50.1 CONNMARK set 0x5

Пакеты маркируются, что видно из вывода iptables но обратно уходят через eth2 (второго провайдера). Мистика какая-то...

Ссылка

←	Debian: совмещение софта из разных веток (stable/unstable/testing)

Postfix

→

Как понять "обратно" ? Т.е. пакеты, посылаемые от хоста 201.211.50.1 ? А нет мысли, что "обратно" идут уже новые пакеты, пришедшие из вне, на которых нет никакой метки? Или я неправильно понял, что вы хотели сказать.

roy ★★★★★
(27.10.07 13:41:44 MSD)

Ответ на: комментарий от roy 27.10.07 13:41:44 MSD

2roy:

я имел ввиду следующее:

"обратно" - это icmp reply которые отсылаются хосту в интернет, с которого пришли icmp requests.

Также на 201.211.50.1 поднят сервис "telnet", так вот, когда из инета я пробую конектится на сервис - то входят пакетики через первого провайдера а ответы от телнет-демона уходят через второго.

anonymous
(27.10.07 14:36:11 MSD)

Ссылка

выкинуть нафиг iptables и написать

ip rule add from 201.211.50.1 table eth0.out

borisych ★★★★★
(27.10.07 15:54:44 MSD)

Ответ на: комментарий от borisych 27.10.07 15:54:44 MSD

2borisych:

не катит! а если трафик та 201.211.50.1 прийдет от второго провайдера?

anonymous
(27.10.07 17:01:26 MSD)

Ответ на: комментарий от anonymous 27.10.07 17:01:26 MSD

ip rule add from 201.211.50.1 dev eth0 table eth0.out

borisych ★★★★★
(27.10.07 17:14:04 MSD)

Ответ на: комментарий от borisych 27.10.07 17:14:04 MSD

2borisych:

у меня своя AS, трафик на 201.211.50.1 может прийти с любой сетевухи - хоть с eth0, хоть с eth2, хоть с ... eth5. А уйти он должен откуда пришел, поэтому так как предлагаете вы - нельзя.

anonymous
(27.10.07 17:38:54 MSD)

А почему CONNMARK а не просто MARK ????

zhiltsov ★
(28.10.07 02:04:26 MSK)

Ссылка

Ответ на: комментарий от anonymous 27.10.07 17:38:54 MSD

Я наверное буду жестко боянить, т.к. это уже наверное 5 или 6 моё сообщение подобного содержания, но как сделать, чтобы при наличии нескольких провайдеров трафик уходил через того, откуда он пришел, описано в http://lartc.org/howto/.

roy ★★★★★
(28.10.07 07:42:35 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian: совмещение софта из разных веток (stable/unstable/testing)

Admin

Postfix

→

Похожие темы