https://www.opennet.ru/openforum/vsluhforumID3/42663.html На форуме часто задается вопрос, по поводу маршрутизации сети, подключенной к двум провайдерам.<br>В частном случае проблема расширяется тем, что нужно осуществлять проброс соединений к сервисам, <br>расположенным в локальной сети. Это делается с помощью DNAT, и при этом снова возникает <br>проблема - по каналу какого провайдера отправлять ответ. Проблема усугубляется тем, <br>что обратное преобразование адресов выполняется уже после принятия <br>решения о маршрутизации, <br>т.е. примерно в районе цепочки POSTROUTING, но скрытно от пользователя.<br><br>Решить эту нерешаемую проблему поможет модуль CONNMARK. Принцип работы маршрутизатора для<br>решения описанной задачи будет выглядеть примерно так:<br><br>Входящие соединения маркируются определенным флажком, после чего делается их проброс в нужное назначение.<br>Каждый обратный пакет соединения _до принятия решения о маршрутизации_ маркируется <br>флажком соответствующего ему соединения (флажок восстанавливается).<br>На основании флажков принимается решение о маршрутизации пакета в соо https://www.opennet.ru/openforum/vsluhforumID3/42663.html#14 Sat, 08 Dec 2012 18:36:49 GMT "Для проброса порта к серверу в локальной сети<br>(в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING. <br>Таким образом, "обратный DNAT" будет происходить когда пакет уже будет идти по нужному маршруту."<br><br>А разве не в POSTROUTING?<br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#13 Thu, 30 Jul 2009 07:31:19 GMT А как во фрибсд это сделать?<br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#12 Thu, 23 Jul 2009 05:53:46 GMT [root@test z]# ip ru sh<br> 0: from all lookup local<br> 1000: from all lookup main<br> 3300: from all fwmark 0x1 lookup &lt;second&gt;<br> 5000: from &lt;first_ip&gt; lookup &lt;first&gt;<br> 5500: from &lt;second_ip&gt; lookup &lt;second&gt;<br> 10000: from all lookup default<br> 32766: from all lookup main<br> 32767: from all lookup default<br><br>Там еще два раза default присутствует :)<br>В общем случае, достаточно конечно же такого варианта:<br><br> [root@test z]# ip ru sh<br> 0: from all lookup local<br> 1000: from all lookup main<br> 3300: from all fwmark 0x1 lookup &lt;second&gt;<br> 5000: from &lt;first_ip&gt; lookup &lt;first&gt;<br> 5500: from &lt;second_ip&gt; lookup &lt;second&gt;<br> 32767: from all lookup default<br><br>Но таблица правил по умолчанию выглядит так:<br><br>0: from all lookup local<br>32766: from all lookup main<br>32767: from all lookup default<br><br><br>и я удалять из неё правило 32766 не рискнул.<br><br>-----------<br><br>Правило "1000: from all lookup main" требуется чтобы напрямую присоединенные к маршрутизатору подсети маршру https://www.opennet.ru/openforum/vsluhforumID3/42663.html#11 Sat, 20 Jun 2009 22:54:20 GMT mangle/OUTPUT нужна для отработки пакетов роутер-инет, для ДНАТов все танцы чисто в цепочке mangle/PREROUTING:<br>1. -i ifINET1 -m state --state NEW -j CONNMARK --set-mark 0x1<br>-i ifINET2 -m state --state NEW -j CONNMARK --set-mark -0x2<br>2. после этих правил надо делать -j CONNMARK --restore-mark, НО! при условии что пакет из локалки в инет! я для этого заводил отдельную цепочку в mangle, в которую заворачивал все пакеты из локалок, а в самой цепочке поставил три правила:<br>-d 10.0.0.0/8 -j RETURN<br>-d 192.168.0.0/16 -j RETURN<br>-j CONNMARK --restore-mark<br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#10 Sun, 10 May 2009 09:04:15 GMT Статья в точности описывает мою проблему, да вот только пример непонятный и неполный.<br>В нем смешался доступ к локальному сервису и проброс DNAT, получился неслыханный бред.<br>Пакет, приходящий со второго инета, почему то пробрасывается на первый инет, причем вовнутрь ! Ладно, фиг с ним, далее еще лучше, метка восстанавливается в цепочке OUTPUT ! Как "оно" там окажется ??? Значит это относится к локальному сервису ? А где тогда восстанавливается метка для пробрасываемого порта ?<br>Еще интересна цепочка маршрутизации, таблица main присутствует в ней дважды. Разъясните, пожалуйста, сей хитрый трюк и зачем он ? :)<br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#9 Wed, 09 Jul 2008 03:07:32 GMT &gt;Есть один неприятный момент в решениях предложенных автором и dry. Если у <br>&gt;меня есть сервис на который должны попадать люди из-вне значит я <br>&gt;должен прописать на 2 ip от разных провайдеров одно имя, нет <br>&gt;ну конечно я могу и разные имена прописать, но для пользаков <br>&gt;это не удобно ИМХО. Так вот если при этом один пров <br>&gt;падает то половина народа попасть ко мне не смогут :-(. В <br>&gt;общем как мне кажется нет тут нормальных решений кроме как AS <br>&gt;получать :-(. А конторым типа моей, которой не более 10 ИП <br>&gt;белых надо это не очень по карману :-(. <br><br>Это вообще не относится к обсуждаемой теме. Обсуждаемая тема называется _маршрутизация_, и решение может иметь кучу применений. Так например тот же самый openvpn, smtp умеют балансироваться на два адреса штатно, и "никаких неприятных моментов". <br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#8 Tue, 08 Jul 2008 05:20:24 GMT Есть один неприятный момент в решениях предложенных автором и dry. Если у меня есть сервис на который должны попадать люди из-вне значит я должен прописать на 2 ip от разных провайдеров одно имя, нет ну конечно я могу и разные имена прописать, но для пользаков это не удобно ИМХО. Так вот если при этом один пров падает то половина народа попасть ко мне не смогут :-(. В общем как мне кажется нет тут нормальных решений кроме как AS получать :-(. А конторым типа моей, которой не более 10 ИП белых надо это не очень по карману :-(.<br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#7 Thu, 03 Jul 2008 13:17:28 GMT &gt;[оверквотинг удален]<br>&gt;iptables -A INPUT -p tcp --dport 3389 -m state --state NEW -j <br>&gt;ACCEPT <br>&gt;<br>&gt;<br>&gt;При условии, что маршрутизация настроена вот так http://gazette.linux.ru.net/rus/articles/lartc/x348.html <br>&gt;<br>&gt;Так и не получилось у меня мапнуть порт через маркировку пакетов через <br>&gt;DNAT, чет видимо не до понимаю чутка, если можно выложить конкретный <br>&gt;пример с правилами iptables как пробросить порт в локалку и чтоб <br>&gt;он был доступен на 2-x интерфейсах буду признателен. <br><br>То что описано в "статье" - это и есть реальные примеры. Не забудьте добавить разрешающие правила в FORWARD и всё, всё остальное есть в статье.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/42663.html#6 Thu, 03 Jul 2008 13:16:02 GMT &gt;Ок, вечерком постараюсь отписать. <br>&gt;Есть рабочее решение, описание еще предстоит накидать. <br>&gt;В кратце - идея в том, что на каждый канал провайдера создается <br>&gt;своя подсеть DMZ (в идеале - vlan, но это не обязательно). <br>&gt;Соответственно на обратном пути по подсети источника можно опознать пакет (с <br>&gt;какого из внешних каналов он пришел) и применить к нему соответствующую <br>&gt;таблицу роутинга. <br><br>Понятно, в общем-то известное решение - позволяет обходиться без маркировки пакетов...<br>