Re: port forwarding для на2 wan интерфейса

To: debian-russian@lists.debian.org
Subject: Re: port forwarding для на2 wan интерфейса
From: Artem Chuprina <ran@ran.pp.ru>
Date: Thu, 06 Dec 2012 11:11:50 +0400
Message-id: <[🔎] 87lidbzmbt.fsf@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] CAHMFuOvf=WpGPjSHHCu=tkj3DxTZD9=+g-wTspZWXvucG1X_EA@mail.gmail.com> (Dmitry A. Zhiglov's message of "Thu, 6 Dec 2012 10:13:28 +0400")
References: <[🔎] CAHMFuOvmOmgR7O5-sY7ghQnu=WZF86W3062EfRgjWfZPaaR2PA@mail.gmail.com> <[🔎] CAHMFuOsX=PaPetejHCC+jq2bDxKwikT6xL3qG=+xq-8VYXE-MA@mail.gmail.com> <[🔎] CAGWE0TCJ_353A3o9cQWgf7Frk8imjY75nemfj=nQpgb9-LnA_g@mail.gmail.com> <[🔎] CAHMFuOvf=WpGPjSHHCu=tkj3DxTZD9=+g-wTspZWXvucG1X_EA@mail.gmail.com>

Dmitry A. Zhiglov -> debian-russian@lists.debian.org  @ Thu, 6 Dec 2012 10:13:28 +0400:

 DAZ> Ок, настройте. На тестовом стенде ибо доступ дать не могу.

А тестовый стенд дать можешь?  Минимум из 5 машин, соединенных не более
чем попарно (целевая машина, на которую нужен форвардинг, роутер, два
роутера его каналов, и одна машина по ту сторону этих роутеров).

У меня такого зоопарка тупо нет, потестировать не на чем.  А
потестировать надо, готовые правила протоптались пару переездов той
конторы назад (перестало быть нужно).

 DAZ> Самое горячее и печалное что у меня времени нет. ((
 DAZ> С форвардингом может и разобрался, но в роутингом затык. Задачи у меня
 DAZ> сейчас "кардинально с разных планет" - разрываюсь

 DAZ> Вот что уже есть

 DAZ> # iptables -t nat -nvL PREROUTING
 DAZ> Chain PREROUTING (policy ACCEPT 11773 packets, 2159K bytes)
 DAZ>  pkts bytes target     prot opt in     out     source
 DAZ> destination
 DAZ>     0     0 CONNMARK   tcp  --  *      *       0.0.0.0/0
 DAZ> ISP_WAN2       tcp dpt:3389 CONNMARK set 0x2

 DAZ> # iptables -t mangle -nvL PREROUTING
 DAZ> Chain PREROUTING (policy ACCEPT 23364 packets, 4349K bytes)
 DAZ>  pkts bytes target     prot opt in     out     source
 DAZ> destination
 DAZ>     0     0 CONNMARK   tcp  --  *      *       ISP_WAN2
 DAZ> SOME_LOCAL_HOST       tcp spt:3389 CONNMARK restore

 DAZ> # ip ru
 DAZ> 0: from all lookup local
 DAZ> 499: from all fwmark 0x2 lookup localnet
 DAZ> 500: from all lookup localnet
 DAZ> 1000: from ISP_WAN1 lookup wan1
 DAZ> 2000: from ISP_WAN2 lookup wan2
 DAZ> 32766: from all lookup main
 DAZ> 32767: from all lookup default

 DAZ> # ip ro ls table wan1
 DAZ> default via ISP_IP1 dev eth1
 DAZ> NET_WAN1 dev eth1  scope link

 DAZ> # ip ro ls table wan2
 DAZ> default via ISP_IP2 dev eth2
 DAZ> ISP_NET2 dev eth2  scope link

 DAZ> # ip ro ls table localnet
 DAZ> LOCAL_NET dev eth0  scope link

 DAZ> Может кто что подскажет?

 DAZ> ВСЕМ: Если что, личка открыта для контактов

Что-то не очень понятно, зачем CONNMARK.  Я не помню, чтоб я им
пользовался, когда аналогичную фигню настраивал.  Просто DNAT с обоих
внешних адресов в одно и то же место, кажется, работал.  Он же действует
только на первый пакет сеанса, входящий, а дальше следит за соединением.

С UDP, помнится, было хуже, но то было не с DNAT, а непосредственно с
роутером.  source-based правило не срабатывало, потому что локально
исходящий ответный пакет по UDP шел с дефолтным source (по TCP он идет с
тем адресом, на который пришел клиент).  А с DNAT как раз может и с UDP
сработать.

Reply to:

Follow-Ups:
- Re: port forwarding для на2 wan интерфейса
  - From: "Dmitry A. Zhiglov" <dmitry.zhiglov@gmail.com>

References:
- port forwarding для на2 wan интерфейса
  - From: "Dmitry A. Zhiglov" <dmitry.zhiglov@gmail.com>
- Re: port forwarding для на2 wan интерфейса
  - From: "Dmitry A. Zhiglov" <dmitry.zhiglov@gmail.com>
- Re: port forwarding для на2 wan интерфейса
  - From: Kirill Shilov <ktk@ktkd.ru>
- Re: port forwarding для на2 wan интерфейса
  - From: "Dmitry A. Zhiglov" <dmitry.zhiglov@gmail.com>

Prev by Date: Re: локализация шелл
Next by Date: Re: локализация шелл
Previous by thread: Re: port forwarding для на2 wan интерфейса
Next by thread: Re: port forwarding для на2 wan интерфейса
Index(es):
- Date
- Thread