https://m.opennet.dev/openforum/vsluhforumID1/80471.html Добрый день!<br>помогите пожалуйста в настройке policy routing под linux.<br>чего сделал:<br>iptables -t mangle -A PREROUTING -m state --state NEW --protocol tcp --src $EXT --dst $ME --dport 22 --in-interface eth1 --jump CONNMARK --set-mark 0x5<br>iptables -A INPUT -p tcp -m connmark --mark 0x5 --src $EXT --dst $ME --dport 22 --in-interface eth1 --jump ACCEPT<br><br>iptables -t mangle -A OUTPUT -p tcp --source $ME --sport 22 --dst $EXT --jump CONNMARK --restore-mark<br>iptables -A OUTPUT -m mark --mark 0x5 -p tcp --source $ME --sport 22 --dst $EXT --out-interface eth1 --jump ACCEPT<br><br>ip route add default via me.iface2.gate dev eth1 src me.iface2 table me2ext<br>ip rule add fwmark 0x5 table me2ext<br><br>всё хорошо и на входе connmark ставиться и на выходе он есть, но вот после restore-mark пакет на re-routing не попадает и пытается выйти через системный default gw и eth0.<br>cat /proc/sys/net/ipv4/conf/eth1/rp_filter<br>0<br>Чего я забыл сделать или где я ошибся?<br>Вообще в чем может быть проблема?<br>Спасибо!<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#10 Thu, 29 May 2008 07:37:34 GMT &gt;Вы забыли про волшебную команду <br>&gt;ip ro flu ca <br>&gt;(ip route flush cache) <br><br>не, не забыл. Она тоже не помогла :(<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#9 Thu, 29 May 2008 07:27:17 GMT <br>Вы забыли про волшебную команду <br><br>ip ro flu ca<br><br><br>(ip route flush cache)<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#8 Thu, 29 May 2008 07:01:21 GMT &gt;ИЗВИНИТЕ, НО ЕСЛИ ВЫ НЕ УМЕЕТЕ ЧИТАТЬ ТО, ЧТО НАПИСАНО МАЛЕНЬКИМИ БУКВАМИ, <br>&gt;БУДУ ПИСАТЬ БОЛЬШИМИ: <br><br>умею читать и маленькими. Спасибо, помогло. <br>Позавчера, в первом тесте не помогло почему-то, хотя все правила были такие же как и сейчас.<br>Да и сегодня тоже с первого раза не завелось, а только после перезагрузки стало всё нормально. Странно, на винду смахивает :)<br><br>&gt;если вы не умеете думать - Вам никто не поможет. <br><br>не надо так злиться.<br>читать умею, объяснения выше.<br>Спасибо тебе!<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#7 Wed, 28 May 2008 05:12:02 GMT ИЗВИНИТЕ, НО ЕСЛИ ВЫ НЕ УМЕЕТЕ ЧИТАТЬ ТО, ЧТО НАПИСАНО МАЛЕНЬКИМИ БУКВАМИ, БУДУ ПИСАТЬ БОЛЬШИМИ:<br><br>ТАБЛИЦА ПРАВИЛ МАРШРУТИЗАЦИИ:<br><br><br>0: from all lookup local<br>1000: from all lookup main<br><br>## С АДРЕСОВ МАРШРУТИЗАТОРА<br><br>5000: from $EXT2_IP lookup $EXT2_TABLE<br>5050: from $EXT1_IP lookup $EXT1_TABLE<br><br>10000: from all lookup default<br>32766: from all lookup main<br>32767: from all lookup default<br><br><br>если вы не умеете думать - Вам никто не поможет.<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#6 Wed, 28 May 2008 04:01:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;по правилам ломает разбираться, что вы под ними _подразумевали_ <br>&gt;&gt;<br>&gt;&gt;хочется вот чего - чтобы все соединения с $EXT ходили через другой <br>&gt;&gt;интерфейс (провайдера другого). <br>&gt;PS: Воспользуйтесь поиском. Тема объясняется по нескольку раз на неделю. <br>&gt;<br>&gt;http://www.opennet.ru/openforum/vsluhforumID1/80422.html <br>&gt;http://www.opennet.ru/openforum/vsluhforumID10/3679.html#4 <br>&gt;<br>&gt;и другие ссылки. <br><br>угу, Вы наверное подумали, что я это делаю на роутере? На роутере у меня уже достаточно давно policy routing работает.<br>Мне же надо на локальной машине с 2мя интерфейсами, никаких роутеров! Делал в том числе и по доке, которую Вы привели, но no luck. Хочется понять где я мог накосячить.<br>Могу еще немного побольше написать чего я хочу: хочу на одной и той же машине с двумя сетевухами и провайдерами сделать второй MX на ip второго провайдера.<br>В этой ситуации пакеты будут не транзитными, а исходить от локальной машины и поэтому написанный роутинг им будет пофиг, если их не промаркировать ч https://m.opennet.dev/openforum/vsluhforumID1/80471.html#5 Tue, 27 May 2008 12:53:28 GMT &gt;&gt;А теперь словами: "я хочу чтобы маршрутизация работала так: ..." <br>&gt;&gt;<br>&gt;&gt;по правилам ломает разбираться, что вы под ними _подразумевали_ <br>&gt;<br>&gt;хочется вот чего - чтобы все соединения с $EXT ходили через другой <br>&gt;интерфейс (провайдера другого). <br><br>0: from all lookup local<br>1000: from all lookup main<br><br>## траффик на нужный хост/сеть на нужную таблицу<br>3000: from all to нужный_хост lookup $extX_TABLE <br><br>## траффик с нужного хоста/сети - на нужную таблицу<br>4000: from нужный_хост lookup $extX_TABLE <br><br>## c адресов маршрутизатора<br><br>5000: from $EXT2_IP lookup $EXT2_TABLE<br>5050: from $EXT1_IP lookup $EXT1_TABLE<br><br>10000: from all lookup default<br>32766: from all lookup main<br>32767: from all lookup default<br><br><br>[root@test zz]# ip ro sh table $EXT1_TABLE<br>default via EXT1_GW_IP dev EXT1_IF<br>[root@test zz]# ip ro sh table $EXT2_TABLE<br>default via EXT2_GW_IP dev EXT2_IF<br><br><br>таблица майн содержит в себе маршруты к директли-коннектед сетям, это позволяет пакетам из локальной сети идти на внешние https://m.opennet.dev/openforum/vsluhforumID1/80471.html#4 Tue, 27 May 2008 11:50:10 GMT &gt;А теперь словами: "я хочу чтобы маршрутизация работала так: ..." <br>&gt;<br>&gt;по правилам ломает разбираться, что вы под ними _подразумевали_ <br><br>хочется вот чего - чтобы все соединения с $EXT ходили через другой интерфейс (провайдера другого).<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#3 Tue, 27 May 2008 11:45:18 GMT А теперь словами: "я хочу чтобы маршрутизация работала так: ..."<br><br>по правилам ломает разбираться, что вы под ними _подразумевали_<br> https://m.opennet.dev/openforum/vsluhforumID1/80471.html#2 Tue, 27 May 2008 10:30:58 GMT &gt;ip ru sh посмотри, твое правило в конец добавилось и не работает. <br><br> ip ru sh<br>0: from all lookup 255<br>32765: from all fwmark 0x5 lookup me2ext<br>32766: from all lookup main<br>32767: from all lookup default<br>