[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: port forward с 2 внешних интерфейсов

Dmitry Fedoseev -> debian-russian@lists.debian.org  @ Thu, 12 May 2005 16:52:16 +0600:

 >> > Настройка DNAT - дело нехитрое. Непонятно вот что - если клиен
 >> > т "входит"
 >> > со стороны провайдера2, то как направить ответный трафик через
 >> >  этого же
 >> > провайдера2, а не по дефолтному маршруту?
 >> 
 >> Маркировать пакеты на интерфейсе с помощью iptables -j MARK и
 >> разруливать с помощью ip route (разные таблицы роутинга для разных
 >> интерфейсов).  Advanced Routing HowTо, кажется, называется документ,
 >> в котором подобная ситуация хорошо описана.

 DF> Документ хорош, спору нет. Но...

 DF> Приходящим от провайдера1 SYN делаем --set-mark 1
 DF> Приходящим от провайдера2 SYN делаем --set-mark 2

 DF> Оба SYN попали на целевой хост и он дважды ответил ACK. Если ACK будут
 DF> иметь маркеры, соответствующие своим SYN, то разрулить эти ACK на
 DF> маршрутизаторе - не проблема.

 DF> Но если маркеры не сохраняются, то на основании чего их можно
 DF> восстановить?

 DF> Чтение lartc прямого ответа не дало. Плохо читал?

Видимо.  Роутить надо на основании исходящего адреса.  А его DNAT
выставит правильно - соответственно тому, на который входили.  Иначе
сессия не установится.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

НИИ требуются:
1. Кто бы мог подумать.
	Кнышев.
Reply to: