OpenForum RSS: маршрутизация через iproute2, пакет уходит с ошибочным SRC IP https://opennet.dev/openforum/vsluhforumID1/85841.html Классика жанра:<br> - два провайдера<br> - один маршрут дефолтный, другой для "других нужд" отстроен по технологии set-mark/fwmark<br><br>Понадобилось SIP пробросить через второй инет (не дефолтный), делаю:<br> - в iptables -t nat PREROUTING завожу правило -s SIP_SERVER -j MARK --set-mark 0x2<br> - соответсвенно довожу до "ума" через ip ro add default IF_ISP2 via GW_ISP2 table ISP2<br> плюс ip ru add fwmark 0x2 table ISP2<br><br>всё вроде хорошо, но почемуто именно с от SIP_SERVER пакеты пробрасываясь через IF_ISP2 по непонятной мне причине имеют исходящий IP равный моему адресу для ISP1 !!!<br><br>т.е. бывает при перезагрузке всё работает нормально, а бывает клинит :(<br><br>нарисую ещё разок фигурально:<br>------как есть (неправильно)--------<br>IP IP_ISP1.5080 &gt; SIPNET.5060: SIP (исходящий пакет с интерфейса IF_ISP2)<br>ну и тишина... ибо IP_ISP1 у провайдера ISP2 конечно не валиден<br>------как должно быть (правильно)---<br>IP IP_ISP2.5080 &gt; SIPNET.5060: SIP<br>IP SIPNET.5060 &gt; IP_ISP2.5080: SIP<br>... и т.д.<br><br>люди добрые, помогите, а?<br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (SVLD) https://opennet.dev/openforum/vsluhforumID1/85841.html#7 Mon, 06 Jul 2009 07:30:42 GMT &gt;lsmod &#124;grep sip <br><br>была такая мысль :) думал хелпер перехватывает, а нет - пусто<br><br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (PavelR) https://opennet.dev/openforum/vsluhforumID1/85841.html#6 Mon, 06 Jul 2009 05:50:41 GMT &gt;тема закрыта, нет сил разбираться, НО каким-то непостяжимым образом вся загвоздка оказалась <br>&gt;в порту 5080... поменял на сервере на 5081, скоррестировал правила - <br>&gt;и всё работает наура! <br>&gt;<br>&gt;убивал такой ньюанс - пакет доходил до цепочки -t mangle POSTROUTING, но <br>&gt;в -t nat POSTROUTING он таинственным образом исчезал 8-( <br><br>lsmod &#124;grep sip<br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (SVLD) https://opennet.dev/openforum/vsluhforumID1/85841.html#5 Sun, 05 Jul 2009 21:11:06 GMT тема закрыта, нет сил разбираться, НО каким-то непостяжимым образом вся загвоздка оказалась в порту 5080... поменял на сервере на 5081, скоррестировал правила - и всё работает наура!<br><br>убивал такой ньюанс - пакет доходил до цепочки -t mangle POSTROUTING, но в -t nat POSTROUTING он таинственным образом исчезал 8-(<br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (SVLD) https://opennet.dev/openforum/vsluhforumID1/85841.html#4 Sun, 05 Jul 2009 20:30:50 GMT &gt;повторить еще раз, как смотреть причину ? <br><br>ну например команда ip r g 212.53.40.40<br>говорит мне, что всё правильно:<br>212.53.40.40 via GW_ISP2 dev eth1.307 src IP_ISP2 &lt;----- вот один из этапов проверки<br> cache mtu 1500 advmss 1460 hoplimit 64<br><br>какими инструментами проследить "решения" системы об исходящем интерфейсе?<br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (PavelR) https://opennet.dev/openforum/vsluhforumID1/85841.html#3 Sun, 05 Jul 2009 15:10:30 GMT &gt;ну это предложение слишком общее, меня скорее интересует как увидеть причину по <br>&gt;которой исходящий пакет имеет неверный адрес. <br><br>повторить еще раз, как смотреть причину ?<br><br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (SVLD) https://opennet.dev/openforum/vsluhforumID1/85841.html#2 Sun, 05 Jul 2009 13:57:31 GMT ну это предложение слишком общее, меня скорее интересует как увидеть причину по которой исходящий пакет имеет неверный адрес.<br><br>дело в том, что у меня есть ряд компьютеров, для которых в -t mangle PREROUTING стоит правило -s IP_PC -j MARK --set-mark и эти компьютеры абсолютно спокойно ходят через ISP2<br><br>делаю небольшую поправку (сначала не заметил): SIP-сервер находится от локалки (в которой часть компов ходит через ISP1, часть через ISP2) через сервер (назавем его PC_GW), который эти пакеты от SIP NAT-ит, имея две сетевухи - одна смотрит в локалку, другая в сетку с SIP-ом.<br><br>что интересно, генерируя пакет netcat-ом на PC_GW (UDP,dport=5060,dst=sipnet.ru) пакет доходит до основного шлюза и выходит в свет через IF_ISP2 с адресом IP_ISP2, но если пакет такойже приходит от SIP, NAT-ится PC_GW в его локальный IP (на стороне основного шлюза он 1:1 как и сгенерированный netcat-ом), но почемуто уходит через IF_ISP2 с адресом IP_ISP1<br> маршрутизация через iproute2, пакет уходит с ошибочным SRC I... (PavelR) https://opennet.dev/openforum/vsluhforumID1/85841.html#1 Sun, 05 Jul 2009 07:03:59 GMT Потому что:<br><br>1. вы не смотрите на правила файрволла в комплексе<br>2. вы не смотрите на правила маршрутизации и таблицы маршрутизации в комплексе.<br>3. потому что вы не объединяете правила и таблицы маршрутизации в единую картину с правилами файрволла.<br><br><br>резюмирую:<br><br>iptables -nvL <br>iptables -nvL -t nat<br>iptables -nvL -t mangle<br><br>ip ru sh<br>ip ro sh table main<br>ip ro sh table default<br>ip ro sh table ISP1<br>ip ro sh table ISP2<br>