Всем привет.
Устал боротся, перепробовал кучу советов. Не чего не вышло. Я не силен в этом, вот и уткнулся.
итак вопрос.
сервер
конфиг сети
eth0 - static 1.1.1.2
eth1 - static 2.2.2.2
eth2 - local net 192.168.0.1сначала исполняю скрипт
IF1=eth0
IF2=eth1IP1=1.1.1.1
IP2=2.2.2.2P1=1.1.1.1
P2=2.2.2.1P1_NET=1.1.1.0/24
P2_NET=2.2.2.0/24SRV1=192.168.0.1
SRV2=192.168.0.100ip route add $P1_NET dev $IF1 src $IP1 table T1
ip route add default via $P1 table T1ip route add $P2_NET dev $IF2 src $IP2 table T2
ip route add default via $P2 table T2ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2
ip route add default via $P1 metric 10ip rule add from $IP1 table T1
ip rule add from $IP2 table T2ip rule add from $SRV1 fwmark 10 table T1
ip rule add from $SRV2 fwmark 20 table T2Теперь нужно завтавить чтоб с локальной сети все имели доступ в инет через 1,1,1,1
а 192,168,0,100 монопольно использовал 2,2,2,2
при этом шлюз по ssh отвечал на обоих провайдерахпомогите плиз кто может. (
вкуривай: http://opennet.ru/tips/2009_policy_route_linux.shtmlпотом делай, должно всё получиться.
если не будет получаться - делай вывод "ip ru sh".
После прочтения статьи он должен содержать указанные тобой pref.
> вкуривай: http://opennet.ru/tips/2009_policy_route_linux.shtml
> потом делай, должно всё получиться.
> если не будет получаться - делай вывод "ip ru sh".
> После прочтения статьи он должен содержать указанные тобой pref.изучил, прописал, но как теперь насчет iptables?
кто-то может мне накидать правило
пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на второго
для 22 порта чтоб
если приходит с первого провайдера то отвечал 192,168,0,1
если приходит со второго провайдера то отвечал 192,168,0,100
ну и конечно не забыть про маркировку пакетов
>[оверквотинг удален]
>> После прочтения статьи он должен содержать указанные тобой pref.
> изучил, прописал, но как теперь насчет iptables?
> кто-то может мне накидать правило
> пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят
> по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на
> второго
> для 22 порта чтоб
> если приходит с первого провайдера то отвечал 192,168,0,1
> если приходит со второго провайдера то отвечал 192,168,0,100
> ну и конечно не забыть про маркировку пакетовдля этого написана вторая статья: http://www.opennet.me/tips/1651_route_iptables_linux_nat.shtml
>[оверквотинг удален]
>> изучил, прописал, но как теперь насчет iptables?
>> кто-то может мне накидать правило
>> пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят
>> по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на
>> второго
>> для 22 порта чтоб
>> если приходит с первого провайдера то отвечал 192,168,0,1
>> если приходит со второго провайдера то отвечал 192,168,0,100
>> ну и конечно не забыть про маркировку пакетов
> для этого написана вторая статья: http://www.opennet.me/tips/1651_route_iptables_linux_nat.shtmlстатья несколько кривовата, поэтому особое внимание обратите на абзац:
==
В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам
делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих
пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к серверу в локальной сети
(в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING.
==
>[оверквотинг удален]
>>> ну и конечно не забыть про маркировку пакетов
>> для этого написана вторая статья: http://www.opennet.me/tips/1651_route_iptables_linux_nat.shtml
> статья несколько кривовата, поэтому особое внимание обратите на абзац:
> ==
> В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам
> делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих
> пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к
> серверу в локальной сети
> (в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING.
> ==Перепробовал уже огромную кучу вариантов таблиц, нечего не помогает...
Хоть кто-то может мне помочь написать правила, а не посылать читать, я уже так начитался, что скоро сам себя понимать не буду...(((
>[оверквотинг удален]
>> ==
>> В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам
>> делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих
>> пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к
>> серверу в локальной сети
>> (в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING.
>> ==
> Перепробовал уже огромную кучу вариантов таблиц, нечего не помогает...
> Хоть кто-то может мне помочь написать правила, а не посылать читать, я
> уже так начитался, что скоро сам себя понимать не буду...(((ну так там и написано как эти правила пишутся.
Хотя, вторая статья несколько неправильной получилась, собственно она второй-то и не была, она была первой =) вот и комом получилась.
Собственно - идею надо понять, а дальше делать.Идея реализации понятна или нет?
>>[оверквотинг удален]
> Собственно - идею надо понять, а дальше делать.
> Идея реализации понятна или нет?нет...
можно как то так - что, куда написать?
>[оверквотинг удален]
>> После прочтения статьи он должен содержать указанные тобой pref.
> изучил, прописал, но как теперь насчет iptables?
> кто-то может мне накидать правило
> пакеты от провайдеров я маркирую 10 и 20 и соответственно они ходят
> по таблицам Т1 и Т2, Т1 на первого провайдера, Т2 на
> второго
> для 22 порта чтоб
> если приходит с первого провайдера то отвечал 192,168,0,1
> если приходит со второго провайдера то отвечал 192,168,0,100
> ну и конечно не забыть про маркировку пакетоввозможно, можно обойтись и без маркировки пакетов, если сделать
ip ru add pref XXXX from 192.168.0.100 lookup T2
+
iptables -t nat -i T2_IFACE -p tcp --dport 22 -j DNAT --to-destination 192.168.0.100
Вопрос на вскидку:IP1=1.1.1.1
^
IP2=2.2.2.2Ошибся здесь или в конфигах тоже?
> Вопрос на вскидку:
> IP1=1.1.1.1
>
> ^
> IP2=2.2.2.2
> Ошибся здесь или в конфигах тоже?нет, только сдесь