From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <43F3704F.8040003@solin.spb.ru> Date: Wed, 15 Feb 2006 21:17:51 +0300 From: Aleksey Avdeev User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050815) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux sysadmin discuss Subject: Re: [Sysadmins] =?KOI8-R?Q?=E8=C9=D4=D2=D9=C5_=CE=C1=D3=D4=D2=CF?= =?KOI8-R?Q?=CA=CB=C9_iptables?= References: <43DE57DE.4090100@lmsh.edu.ru> <43DFA4F5.9040802@lmsh.edu.ru> <43E123B5.605@lmsh.edu.ru> <43E13B29.3000307@solin.spb.ru> <43E28D0E.4040607@solin.spb.ru> <43E372BE.9050904@solin.spb.ru> <139475610.20060203210446@lugaport.net> <43E63602.1010802@solin.spb.ru> In-Reply-To: <43E63602.1010802@solin.spb.ru> Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.6 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 15 Feb 2006 18:18:04 -0000 Archived-At: List-Archive: Aleksey Avdeev пишет: > Dank Bagryantsev пишет: > >>Здравствуйте, Aleksey. >> > > ... > >> >>Схема действительна и все работает только так и не иначе! >>2Aleksey: Другими словами, если сказал routing, что этот ip-пакет от >>локального процесса выйдет через этот конкретный интерфейс, то >>никакими средствами iptables его через другой интерфейс не выпустишь. >>Если я не прав, то предъявите доказательства, pls. > > > Iptables отправкой пакета через интерфейс и не управляет. Там только > MARK делается... И в какой интерфейс его отправить -- уже другие > механизмы занимаются. > > >>AA> Не знаю: я в такие дебри не лазил... Настраивал, с помощью >>AA> , других источников и метода >>AA> научного тыка. >> >>IMHO, наверное, о каком-то нюансе вы умалчиваете... > > > Вполне возможно. О подробностях смогу сообщить недели через 2 (когда > из командировка вернусь). Вернулся. Готов продолжить беседу. > > >>Например, при динамической маршрутизации свои нюансы могут возникнуть... > > > У меня -- только статическая. > > >>Да и следующая схема должна дать требуемые результаты: >> >>"повесить" локальный процесс на dummy0/определенный IP(или через >>vserver) + source-routing + SNAT/DNAT(если надо) > > > Я с локального хоста по этой схеме по ftp ходил, пока туннель со > стороны шлюза непорушил. (Пробрасовал через туннель ftp трафик от своего > хоста и тестовой подсети, к нему подключённой.) Туннель -- починен. Как у меня сделано (etcnet-0.8.0-alt1 + etcnet-defaults-server-0.8.0-alt1): /etc/net/ifaces/ /etc/net/ifaces/lan -- локальная сетка (ничего интересного) /etc/net/ifaces/mylan -- тестовый сегмент (тоже, ничего интересного) /etc/net/ifaces/gre_tun -- туннель к ftp шлюзу (отличен от шлюза по умолчанию). /etc/net/ifaces/gre_tun/{options,ipv4address} -- обычные настройки туннеля (из примеров брал) /etc/net/ifaces/gre_tun/ipv4rule -- помеченное, маршрутизируем отдельной таблицей (ftp.out): ==== fwmark 1 table ftp.out ==== /etc/net/ifaces/gre_tun/ipv4route -- маршрут по умолчанию для ftp.out: ==== default via dev gre_gaspar table ftp.out ==== /etc/net/ifaces/gre_gaspar/fw/iptables/filter -- всё пропускать /etc/net/ifaces/gre_gaspar/fw/iptables/mangle/{OUTPUT,PREROUTING} -- идентичны: ==== -p tcp -m tcp -j tunmark ==== /etc/net/ifaces/gre_gaspar/fw/iptables/mangle/tunmark -- метим пакеты: ==== -d 127.0.0.0/8 -j RETURN -d -j RETURN -p tcp -m multiport --destination-port 20,21,873 -j MARK --set-mark 0x1 ==== /etc/net/ifaces/gre_gaspar/fw/iptables/nat/POSTROUTING -- натим всё, что идёт через данный интерфейс: ==== -o $NAME -j SNAT --to-source ==== iproute: /etc/iproute2/rt_tables: ==== # # reserved values # 255 local 254 main 253 default 0 unspec # # local # #1 inr.ruhep 201 ftp.out ==== При такой схеме весь ftp/rsync трафик из тестовой сетки (mylan) и локального хоста (к которому она подсоединена) -- уходит не на умолчальный шлюз, а туда -- куда мне нужно. -- С уважением. Алексей.