[Sysadmins] два шлюза и проброс во внутреннюю сеть

Ср Окт 31 14:25:16 MSK 2007

On Wednesday 31 October 2007, altlinux на aaanet.ru wrote:
> всем привет!
> есть два шлюза в инет (канал U и канал S) и сервер во внутренней сети на
> котором есть ftp. Нужно обеспечить доступ к ftp с этих двух каналов.
> Шлюзом по умолчанию является канал U. Если я с инета пытаюсь соединиться
> через канал S то пакеты доходят до внутреннего ftp, но возращаются не
> через канал S, а через шлюз по умолчанию т.е. U.
> проброс осуществляется
> $IPTABLES -t nat -A PREROUTING -p TCP -d $EXTERNAL_U_ADDRESS --dport 21
> -j DNAT --to-destination 192.168.100.8:21
> $IPTABLES -t nat -A PREROUTING -p TCP -d $EXTERNAL_S_ADDRESS --dport 21
> -j DNAT --to-destination 192.168.100.8:21
> Как можно решить эту проблему.
>

в идеале -- самое простое -- это иметь по интерфейсу к каждому из шлюзов. 
Тогда:

ip route add default via S table S
ip route add default via U table U
ip route add default via U table main
ip rule add dev ethS table S
ip rule add dev ethU table U

Эта схема опробована и работает на мэйл-сервере, который глядит в две разных 
AS.

Возможно, что можно следить и не по интерфейсам, а по меткам, но это не 
пробовал, а с интерфейсами работает.

-- 
Peter V. Saveliev