SNAT не через default gw

0

0

Есть два внешних канала ip1 (eth1) и ip2 (eth2).
default gw ip2
Для всех локальных адресов хочу сделать
iptables -t nat -A POSTROUTIGN -j SNAT -o eth2 -s 192.168.0.0/24 --to-source ip2
а для 192.168.0.100
iptables -t nat -A POSTROUTIGN -j SNAT -o eth2 -s 192.168.0.100 --to-source ip1
Это не работает, на 192.168.0.100 все равно идет через ip2
На iproute
[root@atc]~# ip rule show
0: from all lookup local
32764: from ip1 lookup T2
32765: from ip2 lookup T1
32766: from all lookup main
32767: from all lookup default

[root@at]~# ip route list
ip1_net/30 dev eth1 proto kernel scope link src ip1
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1
ip2_net/22 dev eth2 proto kernel scope link src ip2
169.254.0.0/16 dev eth2 scope link
default via ip2_gw dev eth2
Я думаю дело все таки в маршутах поэтому хочу попробовать через маркировку пакетов.

Ссылка

←	Canon LBP2900

loop

→

Срабатывает первое SNAT правило (можете убедиться в этом посмотрев счетчики правил), поменяйте правила местами.

mky ★★★★★
(15.02.09 23:16:40 MSK)

Ссылка

И там не маркировка нужна, а маршруты, в данном случае что то типа:

ip rule add from 192.168.0.100 lookup T2

При этом T2 должна содержать "default via ip1_gw dev eth2"

mky ★★★★★
(15.02.09 23:20:36 MSK)

Ответ на: комментарий от mky 15.02.09 23:20:36 MSK

Правил местами поменял, не работает. Не стал дальще ковырять, сделал через ip

palp
(15.02.09 23:38:07 MSK) автор топика

Ответ на: комментарий от palp 15.02.09 23:38:07 MSK

у меня как раз через маркировку и ip route. а Ъ разве можно по-другому?

#dobrochan.ru
iptables -t mangle -A PREROUTING -s 192.168.136.0/24 -d 87.118.95.160/32 -p all -j MARK --set-mark 0x2
iptables -t mangle -A OUTPUT -d 87.118.95.160/32 -p all -j MARK --set-mark 0x2
ip rule add fwmark 2 lookup 2
ip route add default dev ppp-sky table 2
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE

scaldov ★★
(16.02.09 10:40:00 MSK)

Ответ на: комментарий от scaldov 16.02.09 10:40:00 MSK

да я хз, думал что через SNAT прокатит, а вот нет :(

palp
(16.02.09 17:59:03 MSK) автор топика

Ссылка

Ответ на: комментарий от scaldov 16.02.09 10:40:00 MSK

Не работает, вернее сначала работает но через какое то время перестает работать (4-5 часов, хотя это не от времени зависит). У меня маркировка на несколько портов (22 5900 3389) и они идут черех другой гейтвей, через какое то время по этим портам connection time out. Хотя телнетом проверяю - коннектиться нормально (например приглашение ssh'а появляется)

palp
(22.02.09 12:17:47 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Canon LBP2900

General

loop

→

Похожие темы