Главная » Форум » Gentoo Linux » Системное администрирование

проблема iptables mark [решено]

ma 18 февраля, 2008 - 12:45

привет. Подскажите пожалуйста кто знает/сталкивался. Раньше рулил шлюзом под слакварей - все отлично. Эту же систему пытаюсь развернуть на генту 2007,0 - ничерта не работает. Ядро последнее, 2,6,23-r8 вроде. iptables,iproute2 тоже последние.
Ядро сконфигурил как нужно, по "iptables and stateful firewalls howto" на gentoo-wiki
Модули подгружаются, правила создаются, ошибок нет. Засада вот в чем:
есть 2 шлюза, и 2 таблицы маршрутов по каждому, пусть будет gate1 и gate2
все сконфигурено верно. Клиентская тачка 192.168.0.20
Итак пишем:
ip rule add from 192.168.0.20 table gate1 prio 1000
ip rule add from 192.168.0.0/24 table gate2 prio 2000
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
все создается, появляется. никаких ошибок!
Работает как нужно, тачка идет через gate1.
сбрасываем, меняем:
ip rule add from 192.168.0.0/24 fwmark 10 table gate1 prio 1000
ip rule add from 192.168.0.0/24 table gate2 prio 2000
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t mangle -I PREROUTING -s 192.168.0.20 -j MARK --set-mark 10
ничерта не пашет!
если поменять --set-mark с 10 на 11 например - робит как нужно, идет по gate2.. а почему в gate1 не идет? все перелопатил не нашел ответа...
Спасибо.

‹ Заглавные буквы в адресе входящей почты Маршрутизатор и статистика (скорее через squid) ›
»

Если не сложно -

Автор neroot, дата создания 18 февраля, 2008 - 16:20.

Если не сложно - расскажите, как живете с двумя каналами/шлюзами? Ну, в чем именно заключалась Ваша настройка... (сам недавно решал подобную задачу, интересно посмотреть, да может и по теме что-то скажу).
---
Делай, что должен, и будь, что будет.

»

Решил проблему

Автор ma, дата создания 20 февраля, 2008 - 08:13.

Решил проблему поставив на нужные сетевые устройства
rp_filter = 0
ЧЗ вобще зачем эта штука нужна в данном случае но все заработало. А multi-router решается элементарно, нужно включить в ядре все необходимое для этого (полный список опций на память не помню), в /etc/iproute2/rt_tables добавить парочку своих левых таблиц, в каждую вписать по default route'у, и дальше уже см выше
ip rule add from 192.168.0.0/24 fwmark 10 table gate1 prio 1000
ip rule add from 192.168.0.0/24 table gate2 prio 2000
и вклеить на пару хостов отметки:
iptables -t mangle -I PREROUTING -s 192.168.0.20 -j MARK --set-mark 10
итого 0.20 (и другие указанные) пойдут через default route в таблице gate1, остальные пойдут через defroute gate2. только и всего впринципе.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".