[Sysadmins] Хитрые настройки iptables

[Denis Kirienko]

Vladimir V. Kamarzin пишет:
>>>>>> On 31 Jan 2006 at 22:57 "DK" == Denis Kirienko writes:
> 
>  DK> И... сразу же столкнулся с задачей пустить локальный трафик от разных
>  DK> приложений через разные интерфейсы.
>  DK> Проблема такая. Если я пущу исходящий трафик от postfix через второго
>  DK> провайдера, то многие почтовики откажутся его принимать, поскольку
>  DK> белый IP второго провайдера забанен за спам. Поэтому почту от
>  DK> локального сервера postfix, на 25 порту, необходимо отдавать через мой
>  DK> белый IP.
>  DK> Поэтому стоит такая задача: как настроить postfix так, чтобы он
>  DK> работал только через белый ip, привязанный к eth1?
> 
> В принципе можно через ip rule разрулить, или воспользоваться параметром
> inet_interfaces (и возможно proxy_interfaces).

Непонятно, как разрулить через ip rule. В ip rule нельзя задать в 
качестве критерия номер порта. И судя по iptables tutorial пометить 
исходящий пакет тоже нельзя: routing decision принимается до попадания 
пакета в mangle.

inet_interfaces использовать не удалось: независимо от его значения все 
уходит через default gateway.

>  DK> Или аналогичная задача - можно ли настроить squid (который будет
>  DK> основным пожирателем трафика) так, чтобы он работал только через ip,
>  DK> привязанный к eth2?
> 
> См. tcp_outgoing_address

О, а вот это - то, что надо. Странно, я этот параметр проглядел, хотя 
squid.conf весь просмотрел. Наверное, невнимательно смотрел. Собственно, 
желаемого я добился: весь основной трафик от клиентов пустил через 
прокси (получилось 700 мегабайт за сутки), а все остальное - в белый ip, 
там за день набежало всего-то 10 мегабайт. Спасибо!

--
Денис