LINUX.ORG.RU
ФорумAdmin

fwmark - отказывается работать! (iproute)


0

0

уже выбился из сил - немогу понять в чем грабли, чувствую что где-то рядом но немогу ухватиться....


задача маркировать пакеты приходящие из инета через интерфейс eth0 на 201.211.50.1 для того чтобы они возвращались также через eth0, для этого сделал:

#ip rule ls

0: from all lookup local
1000: from all fwmark 0x5 lookup eth0.out
32766: from all lookup main
32767: from all lookup default

#ip route sh table eth0.out
default via 197.54.13.113 dev eth0


#iptables -t mangle -nvxL PREROUTING
pkts bytes target prot opt in out source destination
33 2726 CONNMARK all -- eth0 * 0.0.0.0/0 201.211.50.1 CONNMARK set 0x5

Пакеты маркируются, что видно из вывода iptables но обратно уходят через eth2 (второго провайдера). Мистика какая-то...


anonymous

Как понять "обратно" ? Т.е. пакеты, посылаемые от хоста 201.211.50.1 ? А нет мысли, что "обратно" идут уже новые пакеты, пришедшие из вне, на которых нет никакой метки? Или я неправильно понял, что вы хотели сказать.

roy ★★★★★
()
Ответ на: комментарий от roy

2roy:

я имел ввиду следующее:

"обратно" - это icmp reply которые отсылаются хосту в интернет, с которого пришли icmp requests.


Также на 201.211.50.1 поднят сервис "telnet", так вот, когда из инета я пробую конектится на сервис - то входят пакетики через первого провайдера а ответы от телнет-демона уходят через второго.

anonymous
()
Ответ на: комментарий от borisych

2borisych:

у меня своя AS, трафик на 201.211.50.1 может прийти с любой сетевухи - хоть с eth0, хоть с eth2, хоть с ... eth5. А уйти он должен откуда пришел, поэтому так как предлагаете вы - нельзя.

anonymous
()

А почему CONNMARK а не просто MARK ????

zhiltsov
()
Ответ на: комментарий от anonymous

Я наверное буду жестко боянить, т.к. это уже наверное 5 или 6 моё сообщение подобного содержания, но как сделать, чтобы при наличии нескольких провайдеров трафик уходил через того, откуда он пришел, описано в http://lartc.org/howto/.

roy ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.