История изменений
Исправление uspen, (текущая версия) :
а, да, конечно. тебе надо же заруливать все входящие пакеты туда, откуда они ушли.
это для самого маршрутизатора:
-t mangle -A INPUT -i IFACE -m conntrack --ctstate NEW -j CONNMARK --set-mark MARK
-t mangle -A OUTPUT -j CONNMARK --restore-mark
ip rule add fwmark MARK table TABLE
это для forward:
-t nat -A PREROUTING -i IFACE -p tcp --dst IP --dport PORT -j CONNMARK --set-mark MARK
-t mangle -A PREROUTING -i IFACE -p tcp --src IP --sport PORT -j CONNMARK --restore-mark
ip rule add fwmark MARK table TABLE
setmark идет на внешний ифейс!
это на DNAT - т.е. на внешние подключения к хосту в лан.
поэксперементируй наоборот.
Исправление uspen, :
а, да, конечно. тебе надо же заруливать все входящие пакеты туда, откуда они ушли.
это для самого маршрутизатора:
-t mangle -A INPUT -i IFACE -m conntrack --ctstate NEW -j CONNMARK --set-mark MARK
-t mangle -A OUTPUT -j CONNMARK --restore-mark
ip rule add fwmark MARK table TABLE
это для forward:
-t nat -A PREROUTING -i IFACE -p tcp --dst IP --dport PORT -j CONNMARK --set-mark MARK
-t mangle -A PREROUTING -i IFACE -p tcp --src IP --sport PORT -j CONNMARK --restore-mark
ip rule add fwmark MARK table TABLE
setmark идет на внешний ифейс!
Исходная версия uspen, :
а, да, конечно. тебе надо же заруливать все входящие пакеты туда, откуда они ушли.
это для самого маршрутизатора:
-t mangle -A INPUT -i IFACE -m conntrack --ctstate NEW -j CONNMARK --set-mark MARK
-t mangle -A OUTPUT -j CONNMARK --restore-mark
ip rule add fwmark MARK table TABLE
это для forward:
-t nat -A PREROUTING -i IFACE -p tcp --dst IP --dport PORT -j CONNMARK --set-mark MARK
-t mangle -A PREROUTING -i IFACE -p tcp --src IP --sport PORT -j CONNMARK --restore-mark
ip rule add fwmark MARK table TABLE