https://mobile.opennet.me/openforum/vsluhforumID1/76825.html В общем проблемы 2е, заранее приношу свои извенения, если я не нашёл ответа, которы уже есть, пару дней уже гуглю и здесь тоже искал, но видимо из-за неумения искать возможно не нашёл ответа :D<br>В общем стояла задача маркировать несколько видов траффика на основе анализа destionation address и потом, в зависимости от источника разбивать весь траффик на два канала - один для локального провайдера, другой для всего остального. При этом для всего одного источника(компьютера) нужно делать SNAT а для другого(он же сервер) нужно просто маршрутизировать. В ходе решения так сказать, столкнулся с парой проблем.<br><br>Первая: iptables попросту не понимает маски в -d , если указать хостнейм или просто айпишник, то всё впорядке, ежели айпишник с маской, то правило не реагирует. Пример правила:<br>iptables -t mangle -A PREROUTING -s 192.168.20.2 -d 81.91.32.0/19 -j MARK --set-mark 1002<br>А вот если сделать так:<br>iptables -t mangle -A PREROUTING -s 192.168.20.2 -j MARK --set-mark 1002<br>или так:<br>iptables -t mangle -A PREROUTING https://mobile.opennet.me/openforum/vsluhforumID1/76825.html#3 Sat, 27 Oct 2007 16:20:08 GMT Испытываю похожую проблему (ip игнорирует fwmark), но у меня она с пакетами, генерируемыми самим шлюзом. А в данном случае, похоже, проблема в том, что 1002 для iptables и для iproute2 - это разные 1002. Первый оперирует десятичными числами, а второй - шестнадцатеричными. Попробуйте заменить 1002 на 3EA в команде ip. <br> https://mobile.opennet.me/openforum/vsluhforumID1/76825.html#2 Thu, 18 Oct 2007 13:11:08 GMT Хм, ну с проблемой номер раз разобрался, дестинейшин робит, просто у меня скрипт генерировал неверный дабор правил, в конце которых было фро алл и тоже ставило метку, ну и конечно менялась метка на ту, что оно ставило.<br>А вот по повобу fwmark то всё по прежнему(<br> https://mobile.opennet.me/openforum/vsluhforumID1/76825.html#1 Wed, 17 Oct 2007 14:18:31 GMT Такс, в общем обновил ядро, даже слез с джентовского, поставил ванилу 2.6.22.1<br>iproute2 тоже обновил до 2.6.22.20070710<br>Результат тот же самый, может всё таки дело в опциях ядра(что-то надо включить или наоборот выключить) или быть может я хочу того, что тот же айпитеблес не может.<br>Дестинейшин вообще должен работать в mangle PREROTING или нет ? Просто я видел примеры, там везде порты, а адрес назначения не указывается, вот и подумал, может я делаю то, чего айпитеблес не может. А вот насчёт не работающего fwmark, может просто опция в ядре сейчас изменилась и находится в другом месте? Судя по симптомам это походит на <br>IP: use netfilter MARK value as routing key (CONFIG_IP_ROUTE_FWMARK)<br>Однако в конфиге нет ничего подобного, да и в менуконфиг не нашёл ничего похожего рядом с адвансет роутинг и полис роутинг. Кто нить шарился в этом, хотя бы дагадку что ли). Просто вожусь, и постепенно захожу в тупик, а надо бы понять что не так то)<br>