LINUX.ORG.RU

SNAT не через default gw


0

0

Есть два внешних канала ip1 (eth1) и ip2 (eth2).
default gw ip2
Для всех локальных адресов хочу сделать
iptables -t nat -A POSTROUTIGN -j SNAT -o eth2 -s 192.168.0.0/24 --to-source ip2
а для 192.168.0.100
iptables -t nat -A POSTROUTIGN -j SNAT -o eth2 -s 192.168.0.100 --to-source ip1
Это не работает, на 192.168.0.100 все равно идет через ip2
На iproute
[root@atc]~# ip rule show
0: from all lookup local
32764: from ip1 lookup T2
32765: from ip2 lookup T1
32766: from all lookup main
32767: from all lookup default

[root@at]~# ip route list
ip1_net/30 dev eth1 proto kernel scope link src ip1
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1
ip2_net/22 dev eth2 proto kernel scope link src ip2
169.254.0.0/16 dev eth2 scope link
default via ip2_gw dev eth2
Я думаю дело все таки в маршутах поэтому хочу попробовать через маркировку пакетов.


Срабатывает первое SNAT правило (можете убедиться в этом посмотрев счетчики правил), поменяйте правила местами.

mky ★★★★★
()

И там не маркировка нужна, а маршруты, в данном случае что то типа:

ip rule add from 192.168.0.100 lookup T2

При этом T2 должна содержать "default via ip1_gw dev eth2"

mky ★★★★★
()
Ответ на: комментарий от palp

у меня как раз через маркировку и ip route. а Ъ разве можно по-другому?

#dobrochan.ru
iptables -t mangle -A PREROUTING -s 192.168.136.0/24 -d 87.118.95.160/32 -p all -j MARK --set-mark 0x2
iptables -t mangle -A OUTPUT -d 87.118.95.160/32 -p all -j MARK --set-mark 0x2
ip rule add fwmark 2 lookup 2
ip route add default dev ppp-sky table 2
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE

scaldov ★★
()
Ответ на: комментарий от scaldov

да я хз, думал что через SNAT прокатит, а вот нет :(

palp
() автор топика
Ответ на: комментарий от scaldov

Не работает, вернее сначала работает но через какое то время перестает работать (4-5 часов, хотя это не от времени зависит). У меня маркировка на несколько портов (22 5900 3389) и они идут черех другой гейтвей, через какое то время по этим портам connection time out. Хотя телнетом проверяю - коннектиться нормально (например приглашение ssh'а появляется)

palp
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.