https://www.opennet.me/openforum/vsluhforumID1/92593.html Приветсвую господа! Изложу свою проблему. Нашей организации выделили 2ой канал связи. Настроил балансировку каналов. Пробросил соединение бухгалтерских компов на "старый" внешний интерфейс с помощью маркировки пакетов. Но вот как добится чтобы почтовый сервер sendmail отсылал данные через "старый" интерфейс, я чегото непойму. Помоготи кто знает!!! Полностью скрипт маршрутизации приводить наверно не стоит, вот конечный кусок<br><br>IP_INET1="192.168.1.2"<br>IP_INET2="192.168.2.2"<br>IP_LOCAL="10.64.3.250"<br>IF_LOCAL="eth1"<br>IF_INET1="eth0"<br>IF_INET2="eth2"<br>......<br>/sbin/ip route change default scope global nexthop via $IP_INET1 dev $IF_INET1 weight 2 nexthop via $IP_INET2 dev $IF_INET2 weight 3<br>/sbin/ip rule delete table T1<br>/sbin/ip rule delete table T1<br>/sbin/ip rule delete table T2<br>/sbin/ip rule delete table T2<br>/sbin/ip rule add from $IP_INET1 table T1<br>/sbin/ip rule add from $IP_INET2 table T2<br>/sbin/ip rule add fwmark 10 table T1<br>/sbin/ip rule add fwmark 11 table T2<br>/sbin/ip route flush cache<br><br>Далее скрипт https://www.opennet.me/openforum/vsluhforumID1/92593.html#9 Thu, 17 Nov 2011 03:42:37 GMT &gt; Но вылезли еще более кривые грабли, теперь вообще ничего не уходит наружу. <br>&gt; y=00:00:00, mailer=esmtp, pri=120459, relay=mx.yandex.ru. [77.88.21.89], dsn=4.0.0, <br>&gt; stat=Deferred: Transport endpoint is not connected <br><br> Это уже в iptables и маршрутизации. Если вы задали clientportoptions, то исходящие соединения пойдут с этого ip, и соотв обратно на этот ip должны идти. Если все в старом варианте работало, то при задании clientportoptions вообще ничего не надо было делать ни с iptables ни с маршрутизацией.<br> https://www.opennet.me/openforum/vsluhforumID1/92593.html#8 Tue, 15 Nov 2011 10:57:29 GMT &gt;&gt; но вопрос заключается не в том где <br>&gt;&gt;а в том как это выглядит на практике.<br>&gt; Ну, примерно так и выглядит.... Наверное.<br>&gt;&gt; $IPT -t mangle -A OUTPUT -s 127.0.0.1/32 -d ! $NET_LOCAL -p tcp <br>&gt;&gt; --dport 25 -j MARK --set-mark 10 <br>&gt; "-s 127.0.0.1/32" убери.<br>&gt;&gt; $IPT -t mangle -A OUTPUT -s 127.0.0.1/32 -d ! $NET_LOCAL -p udp <br>&gt;&gt; --dport 25 -j MARK --set-mark 10 <br>&gt; Это правило убери.<br><br>ВО!! Спасибо большое! Заработало!!<br><br> https://www.opennet.me/openforum/vsluhforumID1/92593.html#7 Tue, 15 Nov 2011 10:45:46 GMT &gt; но вопрос заключается не в том где <br>&gt;а в том как это выглядит на практике.<br><br>Ну, примерно так и выглядит.... Наверное.<br><br>&gt; $IPT -t mangle -A OUTPUT -s 127.0.0.1/32 -d ! $NET_LOCAL -p tcp <br>&gt; --dport 25 -j MARK --set-mark 10<br><br>"-s 127.0.0.1/32" убери.<br> <br>&gt; $IPT -t mangle -A OUTPUT -s 127.0.0.1/32 -d ! $NET_LOCAL -p udp <br>&gt; --dport 25 -j MARK --set-mark 10 <br><br>Это правило убери.<br> https://www.opennet.me/openforum/vsluhforumID1/92593.html#6 Tue, 15 Nov 2011 10:12:54 GMT &gt;&gt; пакеты от локальных программ PREROUTING не проходят, в OUTPUT <br>&gt; +1 "Это должен знать(*) каждый!<br>&gt; (*)как найти! <br>&gt; G://прохождение пакетов iptables mangle"тм <br>&gt; http://www.opennet.ru/openforum/vsluhforumID10/3437.html#3 <br>&gt; http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES <br><br>Спасибо большое за ссылки но вопрос заключается не в том где почитать а в том как это выглядит на практике. Замена правил на <br>$IPT -t mangle -A OUTPUT -s 127.0.0.1/32 -d ! $NET_LOCAL -p tcp --dport 25 -j MARK --set-mark 10<br>$IPT -t mangle -A OUTPUT -s 127.0.0.1/32 -d ! $NET_LOCAL -p udp --dport 25 -j MARK --set-mark 10<br><br>к положительным результатам не приводит. Т.е. часть почты идет нормально, а часть отбраковывается удаленными почтовиками, т.к. они приходят с IP-адреса заблокированого за спам.<br><br>P.S. Из этого следует что правила не срабатывают, т.е. пакеты похоже выгледят не так. Большая просьба кто знает подскажите как отлавливать пакеты сендмейла и маркировать их(интересуют именно исходящие пакеты). Т.к. https://www.opennet.me/openforum/vsluhforumID1/92593.html#5 Tue, 15 Nov 2011 10:03:55 GMT &gt;&gt; Приветсвую господа! Изложу свою проблему. Нашей организации выделили 2ой канал связи. Настроил <br>&gt;&gt; балансировку каналов. Пробросил соединение бухгалтерских компов на "старый" внешний интерфейс <br>&gt;&gt; с помощью маркировки пакетов. Но вот как добится чтобы почтовый сервер <br>&gt;&gt; sendmail отсылал данные через "старый" интерфейс, я чегото непойму. Помоготи кто <br>&gt; Если sendmail на этой-же машине, раскомментарьте в sendmail.cf <br>&gt; #O ClientPortOptions=Family=inet, Address=0.0.0.0 <br><br>Раскоментировал <br><br>O ClientPortOptions=Family=inet, Address=192.168.1.2<br>192.168.1.2 - это адрес того интерфейса через который мне надо отправлять почту(правда этот интерфейс смотрит на роутер который соответсвенно пробрасывает на реальные внешний IP)<br><br>Но вылезли еще более кривые грабли, теперь вообще ничего не уходит наружу.<br> <br>в maillog вижу теперь следующее<br>Nov 15 13:54:46 localhost sendmail[11093]: pAFAsjkJ011091: to=&lt;ххххх@yandex.ru&gt;, ctladdr=&lt;admin@ххххххх.orel.ru&gt; (500/500), delay=00:00:00, xdela<br>y=00:00:00, mailer=esmtp, https://www.opennet.me/openforum/vsluhforumID1/92593.html#4 Tue, 15 Nov 2011 08:45:50 GMT &gt; пакеты от локальных программ PREROUTING не проходят, в OUTPUT <br><br>&lt;&lt;В действительности всё не как на самом деле.&gt;&gt;<br>http://ebtables.sourceforge.net/br_fw_ia/PacketFlow.png/<br>http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html<br>&lt;&lt;Но и тогда сомнения не покидают меня.&gt;&gt;<br><br>Вот пытался про броутеры читать... А ещё, слышал, есть %-O heavy voodo у VPS-ников.<br> https://www.opennet.me/openforum/vsluhforumID1/92593.html#3 Tue, 15 Nov 2011 07:58:08 GMT &gt; Приветсвую господа! Изложу свою проблему. Нашей организации выделили 2ой канал связи. Настроил <br>&gt; балансировку каналов. Пробросил соединение бухгалтерских компов на "старый" внешний интерфейс <br>&gt; с помощью маркировки пакетов. Но вот как добится чтобы почтовый сервер <br>&gt; sendmail отсылал данные через "старый" интерфейс, я чегото непойму. Помоготи кто <br><br> Если sendmail на этой-же машине, раскомментарьте в sendmail.cf<br><br>#O ClientPortOptions=Family=inet, Address=0.0.0.0<br><br> И пропишите нужный ip. Если нужно чтоб он слушал на определенном ip есть еще и <br><br>#O DaemonPortOptions=Name=IPv4, Family=inet, Address=0.0.0.0<br> https://www.opennet.me/openforum/vsluhforumID1/92593.html#2 Tue, 15 Nov 2011 05:38:22 GMT &gt; пакеты от локальных программ PREROUTING не проходят, в OUTPUT <br><br>+1 "Это должен знать(*) каждый!<br> (*)как найти! G://прохождение пакетов iptables mangle"тм<br><br>http://www.opennet.ru/openforum/vsluhforumID10/3437.html#3<br>http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES<br> https://www.opennet.me/openforum/vsluhforumID1/92593.html#1 Mon, 14 Nov 2011 12:47:33 GMT &gt;[оверквотинг удален]<br>&gt; ##### Далее (4 строки) идут мои извраты в попытке добиться чтобы почта <br>&gt; тоже шла через eth0, методом маркировки пакетов, но пока ничего невыходит <br>&gt; $IPT -t mangle -A PREROUTING -s ! $NET_LOCAL -d ! $NET_LOCAL -p <br>&gt; tcp --dport 25 -j MARK --set-mark 10 <br>&gt; $IPT -t mangle -A PREROUTING -s ! $NET_LOCAL -d ! $NET_LOCAL -p <br>&gt; udp --dport 25 -j MARK --set-mark 10 <br>&gt; $IPT -t mangle -A PREROUTING -s 127.0.0.1/32 -d ! $NET_LOCAL -p tcp <br>&gt; --dport 25 -j MARK --set-mark 10 <br>&gt; $IPT -t mangle -A PREROUTING -s 127.0.0.1/32 -d ! $NET_LOCAL -p udp <br>&gt; --dport 25 -j MARK --set-mark 10 <br><br>пакеты от локальных программ PREROUTING не проходят, в OUTPUT<br><br>&gt; $IPT -t nat -A PREROUTING -i eth0 -d 192.168.1.2 -s 95.107.63.10 -j <br>&gt; DNAT --to-destination 10.64.3.10 <br>&gt; $IPT -t nat -A POSTROUTING -m mark --mark 10 -j MASQUERADE