Есть машина с двумя интерфейсами и тремя сетямиppp0 - тунель
eth0 - физический
eth0.1 - алиастак вот хочу чтобы трафик бегал по всем интерфейсам... сейчас только через тунель и в локалку бегает, на алиас не извне не бегает с машини нормально пингуются хосты 194.44.а.б
в чем проблема может быть? ну и может это все можно попроще сделать? или добавить еще физический интрефейс и не использовать алиасы?
net1=82.207.a.0/24
dev1=ppp0
ip1=82.207.a.b
gw1=195.5.a.bip route del $net1 dev $dev1
ip route add $net1 dev $dev1 src $ip1 table T1
ip route add default via $gw1 table T1
ip route add $net1 dev $dev1 src $ip1
ip route add default via $gw1
ip route add 127.0.0.0/8 dev lo table T1
ip rule add from $gw1 table T1
net2=194.44.a.b/28
dev2=eth0
ip2=194.44.a.b
gw2=194.44.a.bip route add $net2 dev $dev2 src $ip2 table T2
ip route add default via $gw2 table T2
ip route add $net2 dev $dev2 src $ip2
ip route add 127.0.0.0/8 dev lo table T2
ip rule add from $gw2 table T2
net3=192.168.1.0/24
dev3=eth0
ip3=192.168.1.232
gw3=192.168.1.2ip route add $net3 dev $dev3 src $ip3 table T3
ip route add default via $gw3 table T3
ip route add $net3 dev $dev3 src $ip3
ip route add 127.0.0.0/8 dev lo table T3
ip rule add from $gw3 table T3
Чего-то у тебя совсем беда какая-то и с интерфейсами и с роутингом. Опиши хоть что у тебя куда подключено.
>Чего-то у тебя совсем беда какая-то и с интерфейсами и с роутингом.
>Опиши хоть что у тебя куда подключено.Беееда :)
Ну есть два канала, один земля другой радио
по земле в идеале должен бегать только почтовый трафик, земля сидит на ppp0Далее есть внутрення локалка которая висит на eth0.
Алиасом eth0:1 к eth0 присобачена статическая айпишка из другого диапазона 194.44.а.б/28 которая смотрит в мир и к которой нужно иметь доступ вот алиас и не работает... все другое пингуется и бегает...
>Ну есть два канала, один земля другой радио
>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>ppp0При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.
>Далее есть внутрення локалка которая висит на eth0.
>Алиасом eth0:1 к eth0 присобачена статическая айпишка из другого диапазона 194.44.а.б/28 которая
>смотрит в мир и к которой нужно иметь доступ вот алиас
>и не работает... все другое пингуется и бегает...
>net2=194.44.a.b/28
>dev2=eth0
>ip2=194.44.a.b
>gw2=194.44.a.bтут gw2 тот же, что и ip2 ?
надо ip шлюза, который знает, что у тебя тут внешний адрес стоит.
>>Ну есть два канала, один земля другой радио
>>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>>ppp0
>
>При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.А как трафик на OUTPUT маркировать?
>>ip2=194.44.a.b
>>gw2=194.44.a.b
>
>тут gw2 тот же, что и ip2 ?
>надо ip шлюза, который знает, что у тебя тут внешний адрес стоит.
>нет, не тот же
ip2=194.44.a.b
gw2=194.44.a.cтоесть этот шлюз маршрутизирует наши статические айпишки...
>>Ну есть два канала, один земля другой радио
>>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>>ppp0
>
>При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.
>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 10
так маркировать?
>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark
>10
>так маркировать?iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark 10
ip rule add fwmark 10 table T1
>
>>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark
>>10
>>так маркировать?
>
>iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark
>10
>
>ip rule add fwmark 10 table T1Ну это только если трафик сквозной, а если это локальный? тоесть почтовик на том же самом хосте? тогда как?
>Ну это только если трафик сквозной, а если это локальный? тоесть почтовик
>на том же самом хосте? тогда как?Идем читать доки по iptables, iproute2 и т.д и т.п
>>Ну это только если трафик сквозной, а если это локальный? тоесть почтовик
>>на том же самом хосте? тогда как?
>
>Идем читать доки по iptables, iproute2 и т.д и т.пСпасибо за напутствие но в доках так и говорится
Порядок обхода3 mangle OUTPUT Здесь производится внесение изменений в заголовок пакета. Выполнение фильтрации в этой цепочке может иметь негативные последствия.
4 nat OUTPUT Эта цепочка используется для трансляции сетевых адресов (NAT) в пакетах, исходящих от локальных процессов брандмауэра.
5 Filter OUTPUT Здесь фильтруется исходящий траффик.
6 mangle POSTROUTING Цепочка POSTROUTING таблицы mangle в основном используется для правил, которые должны вносить изменения в заголовок пакета перед тем, как он покинет брандмауэр, но уже после принятия решения о маршрутизации. В эту цепочку попадают все пакеты, как транзитные, так и созданные локальными процессами брандмауэра.
7 nat POSTROUTING Здесь выполняется Source Network Address Translation. Не следует в этой цепочке производить фильтрацию пакетов во избежание нежелательных побочных эффектов. Однако и здесь можно останавливать пакеты, применяя политику по-умолчанию DROP.никакого прероутинга я здесь не вижу
>
>никакого прероутинга я здесь не вижуДружище, ты меня заставил засомневаться. Вот нашел.
>>
>>никакого прероутинга я здесь не вижу
>
>Дружище, ты меня заставил засомневаться. Вот нашел.
>
>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLEА локальное приложение настраивается с какого адреса отправлять.
>>>
>>>никакого прероутинга я здесь не вижу
>>
>>Дружище, ты меня заставил засомневаться. Вот нашел.
>>
>>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
>
>А локальное приложение настраивается с какого адреса отправлять.Ну пока что все на ppp0 кроме виртуальных хостов, один должен быть на 82.207.а.б другой на 194.44.а.б, тот что на 82.207.а.б нормально работает... а к 194.44.а.б. как я написал нет доступа...
>>
>>никакого прероутинга я здесь не вижу
>
>Дружище, ты меня заставил засомневаться. Вот нашел.
>
>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLEЯ тебя понял, я же говорю что можно маркировать и в прероутинге если пакет идет снаружи, а мне интересно как его маркировать если это локальное приложение... вот и навел пример из _доков_ :) где описано как маркировать локальный трафик...
>[оверквотинг удален]
>>>никакого прероутинга я здесь не вижу
>>
>>Дружище, ты меня заставил засомневаться. Вот нашел.
>>
>>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
>
>Я тебя понял, я же говорю что можно маркировать и в прероутинге
>если пакет идет снаружи, а мне интересно как его маркировать если
>это локальное приложение... вот и навел пример из _доков_ :) где
>описано как маркировать локальный трафик...OUTPUT в iptables обрабатывается после маршрутизации.
Если у тебя приложение отвечает на одном адресе, то через другую сетевую плату ответы не пойдут.
>OUTPUT в iptables обрабатывается после маршрутизации.
>
>Если у тебя приложение отвечает на одном адресе, то через другую сетевую
>плату ответы не пойдут.Ну да, мне как раз и нужно почту по земле тоесть сеть 82.207
а все другие протоколы по радиоканалу, думаю что так сработает хотя бы для апача который сидити в сети 194.44.
Народ не проходите мимо %)
>Народ не проходите мимо %)route
покажите пожалуйста, что то я запутался в Ваших gw
>>Народ не проходите мимо %)
>
>route
>покажите пожалуйста, что то я запутался в Ваших gwKernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.5.a.b * 255.255.255.255 UH 0 0 0 ppp0
194.44.a.0 * 255.255.255.240 U 0 0 0 eth0
sparing-vist * 255.255.255.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default 195.5.a.b 0.0.0.0 UG 0 0 0 ppp0ip route list
195.5.a.b dev ppp0 proto kernel scope link src 82.207.a.b
194.44.a.0/28 dev eth0 scope link src 194.44.a.b
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.232
127.0.0.0/8 dev lo scope link
default via 195.5.a.b dev ppp0ip route list table T1
82.207.a.0/24 dev ppp0 scope link src 82.207.a.b
127.0.0.0/8 dev lo scope link
default via 195.5.a.b dev ppp0ip route list table T2
194.44.a.0/28 dev eth0 scope link src 194.44.a.b
127.0.0.0/8 dev lo scope link
default via 194.44.a.c dev eth0ip route list table T3
192.168.1.0/24 dev eth0 scope link src 192.168.1.232
127.0.0.0/8 dev lo scope link
>ip route list table T3
>192.168.1.0/24 dev eth0 scope link src 192.168.1.232
>127.0.0.0/8 dev lo scope linkА я здесь ожидал default via 194.44.a.c. dev eth0
И почему нет в основной таблице маршрутизации маршрута к 192.168.1.0/24 - это sparing-vist что ли?
gw3=192.168.1.2 это что вообще такое?
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.5.а.б 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
194.44.а.224 0.0.0.0 255.255.255.240 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 195.5.а.б 0.0.0.0 UG 0 0 0 ppp0>gw3=192.168.1.2 это что вообще такое?
Это провайдерский шлюз на радиоканал он же маршрутизирует айпишки 194.44.а.б/28
>[оверквотинг удален]
>0 0 lo
>0.0.0.0 195.5.а.б
> 0.0.0.0
> UG 0
> 0 0 ppp0
>
>
>>gw3=192.168.1.2 это что вообще такое?
>
>Это провайдерский шлюз на радиоканал он же маршрутизирует айпишки 194.44.а.б/28Он же 194.44.a.c тоесть две айпишки имеет или даже три :) туда доступа я не имею
Всё, я пас.
>Всё, я пас.Спасибо, я сам скоро пас сделаю :))))
Мля... главное что с сервака 194.44.а.с пингуется, тоесть шлюз по умолчанию для 194.44.а.б
ip route list table T3
192.168.1.0/24 dev eth0 scope link src 192.168.1.232
127.0.0.0/8 dev lo scope linkПочему нет default маршрута на gw 192.168.1.2
>ip route list table T3
>192.168.1.0/24 dev eth0 scope link src 192.168.1.232
>127.0.0.0/8 dev lo scope link
>
>Почему нет default маршрута на gw 192.168.1.2Да был он там, видимо после манипуляций пропал, но дело не в этом сеть 82.207. и 192.168. нормально работают а вот через сеть 194.44. выхода в мир нету... только шлюз по умолчанию видно....
Судя по таблице маршрутизации так и есть. Из какой сети ты хочешь пустить траффик на gw2=194.44.a.c ?
>
>
>Судя по таблице маршрутизации так и есть. Из какой сети ты хочешь
>пустить траффик на gw2=194.44.a.c ?Пока что из локалхост кроме мыла, мыло будет бегать в сеть 82.207. так как на туда смотрит почтовик, дальше было б хорошо из локалки юзверей пускать через радиоканал - 194.44.а.с
локалхоcт -> 194.44.a.c - весь кроме мыла
192.168.1. -> 194.44.a.c - уже по трафику веб, фтп...
>
>локалхоcт -> 194.44.a.c - весь кроме мыла
>192.168.1. -> 194.44.a.c - уже по трафику веб, фтп...up