[iptables][iproute2] Маршрутизация по портам.

0

0

Добрый день. Пытаюсь подключить аську через 2 прова.(проброс 5190 порта) Два прова подключены к одной машинке. 1 на eth0 192.168.1.250(вместе с общей сетью) 2 на ppp0 (через eth1)

ip rule show:

0:	from all lookup local 
32765:	from all fwmark 0x1 lookup 102 
32766:	from all lookup main 
32767:	from all lookup default

ip route show table 102:

192.168.1.0/24 dev eth0  scope link 
default dev ppp0 scope link

ip r sh:

192.168.1.0/24 dev eth0  scope link 
default via 192.168.1.250 dev eth0;

iptables:

iptables -t mangle -A PREROUTING -p tcp --dport 5190 -j CONNMARK --set-mark 1
iptables -t mangle -A OUTPUT -p tcp --dport 5190 -j CONNMARK --set-mark 1

traceroute login.icq.com -p5190

traceroute to login.icq.com (64.12.202.116), 30 hops max, 40 byte packets
 1  192.168.9.105 (192.168.9.105)  3.127 ms 192.168.1.250 (192.168.1.250)  1.183 ms  1.975 ms
 2  ppp91-79-36-1.pppoe.mtu-net.ru (91.79.36.1)  18.673 ms  21.408 ms  22.036 ms
 3  a197-crs-1-be1-53.msk.stream-internet.net (212.188.1.113)  24.712 ms  27.131 ms  27.981 ms
 4  a197-crs-1-be1-53.msk.stream-internet.net (212.188.1.113)  29.609 ms  30.379 ms  32.955 ms
 5  ss-crs-1-be5.msk.stream-internet.net (195.34.59.105)  90.323 ms  95.400 ms  95.629 ms
 6  oct-cr01-po1.msk.stream-internet.net (195.34.59.141)  39.779 ms  40.557 ms  42.567 ms
 7  may-cr01-po3.spb.stream-internet.net (195.34.59.30)  26.345 ms  30.261 ms  31.830 ms
 8  t7-cr01-po1.stk.stream-internet.net (195.34.59.98)  45.687 ms  47.796 ms  49.079 ms
 9  tct-cr01-te5-1.ams.stream-internet.net (195.34.53.14)  80.471 ms  81.296 ms  85.224 ms
10  sl-gw10-ams-11-0-4.sprintlink.net (217.149.33.157)  85.595 ms  87.160 ms  87.739 ms
11  sl-bb21-ams-8-0.sprintlink.net (217.149.32.41)  90.734 ms  105.654 ms  115.506 ms
12  sl-bb20-ham-14-0-0.sprintlink.net (213.206.129.50)  122.207 ms  142.082 ms  141.507 ms
13  sl-bb21-fra-4-0-0.sprintlink.net (213.206.129.147)  151.554 ms  150.877 ms  153.988 ms
14  217.147.96.64 (217.147.96.64)  155.898 ms  142.002 ms  142.579 ms
15  pop1-frr-g2-1-3.atdn.net (66.185.149.69)  147.381 ms  147.675 ms  149.150 ms
16  bb2-frr-s1-1-0.atdn.net (66.185.139.14)  151.108 ms  148.435 ms  137.293 ms
17  bb1-new-s1-0-0.atdn.net (66.185.152.146)  213.214 ms  227.818 ms  200.310 ms
18  bb1-ash-p13-0.atdn.net (66.185.152.162)  194.563 ms  203.277 ms  205.671 ms
19  pop1-ash-s0-1-0.atdn.net (66.185.144.33)  207.203 ms  220.122 ms  209.134 ms
20  dar1-mtc-s0-0-0.atdn.net (66.185.148.222)  210.587 ms dar1-mtc-s1-0-0.atdn.net (66.185.151.102)  226.968 ms dar1-mtc-s0-0-0.atdn.net (66.185.148.222)  228.058 ms
21  * * *
22  ow1-mtc-ae0.net.aol.com (64.12.248.66)  217.141 ms  187.050 ms  168.325 ms
23  * * *
24  bucp-m1-vip.blue.aol.com (64.12.202.116)  180.762 ms  184.237 ms  209.125 ms

По трейсу маршрут идет через 2-го прова. По 22 порту ssh работает отлично и ходит через нужного прова. А вот аська все время лезит через основного прова. ЧЯДНТ?

Ссылка

←	не запускаются X после обновления на 10.10

KDE 4.5.0 на дебиан сквиз

→

я так понимаю, потоки не маркируются?

iptables -t mangle -A POSTROUTING -m connmark --mark 0x1 -j CONNMARK --restore-mark

zorgan ★
(12.08.10 14:48:25 MSD)

Ответ на: комментарий от zorgan 12.08.10 14:48:25 MSD

Опустил эту часть скрипта, маркируются.

iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
iptables -t mangle -A FORWARD -j CONNMARK --restore-mark
iptables -t mangle -A POSTROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark

fjfalcon ★★★
(12.08.10 14:49:47 MSD) автор топика

Ссылка

Ответ на: комментарий от zorgan 12.08.10 14:48:25 MSD

s/потоки/соединения/

zorgan ★
(12.08.10 14:49:51 MSD)

Ссылка

Что удивительно, сперва он таки обращается к серверу p-t-p(192.168.9.105 из сети eth0, но потом снова уходит на 1.250)

[offtop] приношу извинения, что использовал не тот форум, если не сложно перенесите в admin [/offtop]

fjfalcon ★★★
(12.08.10 15:04:36 MSD) автор топика

Ссылка

Маскарад на ppp0 есть? rp_filter отключен?

nnz ★★★★
(12.08.10 16:21:12 MSD)

> iptables -t mangle -A OUTPUT -p tcp --dport 5190 -j CONNMARK --set-mark 1
Я так понял аська это транзитный траффик? Если да, то в -t mangle OUTPUT он не попадёт.
http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES

Nao ★★★★★
(12.08.10 16:36:47 MSD)

Ответ на: комментарий от nnz 12.08.10 16:21:12 MSD

Только:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

rp_filter:

cat /proc/sys/net/ipv4/conf/all/rp_filter
0

fjfalcon ★★★
(12.08.10 18:13:29 MSD) автор топика

Ссылка

Ответ на: комментарий от Nao 12.08.10 16:36:47 MSD

Он попадет в prerouting.

fjfalcon ★★★
(12.08.10 18:14:36 MSD) автор топика

Ссылка

>аську

-p tcp --dport 5190

traceroute login.icq.com -p5190

man traceroute:

-p Set the base UDP port number used in probes (default is 33434)

nnz ★★★★
(13.08.10 00:55:28 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	не запускаются X после обновления на 10.10

Desktop

KDE 4.5.0 на дебиан сквиз

→

Похожие темы