IPIP туннелирование. Проксирование трафика с eth интерфейса на туннельный интерфейс

Не проще поставить какой-нибудь TCP прокси аля HAProxy?

Может я чего не понял, но ведь у вас интерфейс называется tunnel1, почему вы пишете правила, как будто трафик идёт с eth0 на eth0, а не c eth0 на tunnel1 и обратно?

Вам нужен PBR с классикакацией по L4(номеру порту).

iptables <классификация_трафика_для_отправки_в_тунлей> -j MARK МЕТКА ip rule add fwmark МЕТКА lookup RT_RUN

RT_TUN это таблица роутинга, создаётся её в /etc/iproute2/rt_tables с номером, например 100

затем добавляете дефолт в тунель в эту таблицу: ip route add 0.0.0.0/0 via 10.0.0.2 dev tunnel1

В вашей инструкции был классический PBR - с классификацией по source ip

Если исходный трафик идёт на адрес 1.1.1.1, (который, как и 10.0.0.1, пренадлежит серверу 1), то только через DNAT можно отправить его на какой-то другой адрес/сервер, потому что в начале всегда идёт поиск по таблице маршрутизации local (255).

В вашей инструкции был классический PBR - с классификацией по source ip

Странная у него была инструкция, ведь "tab 0" она же «unspec routing table» это вобще непойми что.

Собственно я делал все по инструкции, укажите пожалуйста на ошибки. Из сообщений понял лишь половину.

Основная ошибка это следование инструкции, не вникая в команды. Если бы вы дали ссылку на эту самую инструкцию, может кто бы не поленился прочитать и поправить... Лично я вобще не понимаю, чего хотел автор инструкции указывая команды ″ip ... tab 0″, если в инструкции действительно ноль, а не другое число. Так сложной маршрутизации используются таблицы с номерами от 1 до 252. Но по мне никаких ″ip rule″ в вашем случае не нужно.

А что касается правил в iptables, то у вас пакеты будут идти между eth0 и tunnel1, поэтому пишите ″-o tunnel1″ в SNAT правиле. В FORWARD у вас правило вобще записано неверно, должно хватить ″-p tcp --dport 3306 -j ACCEPT″, остальные условия не нужны. И ″MASQUERADE″ не нужен, у вас прописан SNAT.

В скрипте tab указывается. Я просто 0 указал, видимо сглупил. Поставил на обоих серверах 10.

Сейчас попробую.

Собственно такие дела:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to 10.0.0.2:3306
iptables -t nat -A POSTROUTING -o tunnel1 -s 10.0.0.0/24 -d 10.0.0.2 -j SNAT --to 1.1.1.1
iptables -A FORWARD -p tcp --dport 3306 -j ACCEPT

Но к сожалению, ничего не работает.

SNAT-правило нужно писать адреса на tunnel1 (-j SNAT --to-source 10.0.0.1).

Если ваше утверждение, что «ничего не работает» основано на неудачных подпытках подключится к порту 3306 на 1.1.1.1, причём командой telnet, а не mysql-клиентом чтобы было ясно проходит ли подключение или нет, то можно посмотреть счёчики iptables.

Смотрите вывод команды ″iptables -L -n -v″ и аналогично для таблицы ″-t nat″. В этом выводе будут счётчики (пакетов и байт) и будет видно, работают ли правила. Если у DNAT-правила будет нулевой счётчик, значит входящих соединений вобще не было и нужно искать проблему в другом месте. Если у DNAT-правила и правила в FORWARD счётчики не нулевые, возможно, проблема в том, что SNAT-правило написано для соединений, исходящих с 10.0.0.0/24, а вы проверяете с какого другого адреса.

Если у всех трёх приведённых в вашем посте правил счётчики не нулевые, и возрастают при каждой попытке установить тестовое подключение, скорее всего проблемы в настройках на втором сервере.

P.S. Надеюсь, вы удаляете из iptables старые варианты ваших правил, а не просто добаляте новые.

Я не такой дурак, чтобы подключаться к MySQL базе с помощью telnet клиента.
Использую mysql -h 1.1.1.1

Вывод iptables -L -n -v (удивил немного):

root@ds:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 1368 packets, 104K bytes)
pkts bytes target prot opt in out source
destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT tcp  — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:3306

Chain OUTPUT (policy ACCEPT 940 packets, 119K bytes)
pkts bytes target prot opt in out source
destination
root@ds:~#

Destination и source = 0.0.0.0/0, это так и должно быть?

А что Вы имеете ввиду под исходящих с... То есть только с 10.0.0.0?
Мне нужно, чтобы со всего интернета было доступно...

На данном форме, чтобы показывать вывод команд/логи и т.д., нужно ставить в начале тег [code], а в конце [/code] и смотреть с помощью кнопочки «Предпросмотр» что получилось. Внизу под формой ввода сообщения есть ссылка на описание LORCODE.

Destination и source = 0.0.0.0/0, это так и должно быть?

Да, все адреса. Вот для FORWARD вы показали, что пока вобще не одного пакета на ваш tcp dpt:3306 не прошло. Теперь читаем моё сообщение дальше:

Смотрите вывод команды ″iptables -L -n -v″ и аналогично для таблицы ″-t nat″.

И показываем вывод команды ″iptables -L -n -v -t nat″. Если там у DNAT-правила будут нули, тогда нужно думать, почему ваш MySQL-клиент подключается на какой-то другой адрес.

То есть только с 10.0.0.0?

Да.

Мне нужно, чтобы со всего интернета было доступно...

Ну тогда и нужно писать:

iptables -t nat -A POSTROUTING -o tunnel1  -d 10.0.0.2 -j SNAT --to 1.1.1.1

P.S. У вас вобще счётчики в FORWARD (policy ACCEPT 0 packets, 0 bytes) по нулям. Форвардинг в ядре включён? Первый пункт по этой ссылке http://arktop.ru/2013/05/включить-ip_forward-и-masquerade/