[Sysadmins] iptables и цель ROUTE

[Alexander Tiurin]

5 августа 2008 г. 16:20 пользователь Olvin <olvin на rambler.ru> написал:

> Serge wrote:
>
>> Система ALD4.0.1.
>>>>> А где у нас цель ROUTE в iptables? Очень нужно, а нету. Как быть?
>>>>> Нужно, чтобы интернет-трафик одного пользователя (по UID) направлялся
>>>>> по
>>>>> одному ppp-интерфейсу, а другого пользователя - по другому
>>>>> ppp-интерфейсу. Адреса ppp-соединений - динамические, провайдер один.
>>>>> Пользователи работают одновременно за одним компьютером. Заморачиваться
>>>>> с маршрутизатором в OpenVZ-контейнере и, тем более, с отдельной
>>>>> железкой
>>>>> для этих целей нет никакого желания.
>>>>>
>>>> а если метить пакеты и направлять их на определенный интерфейс с помощью
>>>> iproute2?
>>>>
>>> Я эту проблему уже поднимал здесь. Фокус в том, что решение о
>>> маршрутизации для пакетов от локальных процессов принимается ДО nat или
>>> mangle.
>>>
>> если не ошибаюсь в цепочке mangle\OUTPUT
>>
>
> Самое главное, что "ДО".

Как-то помогла картинка
http://iptables-tutorial.frozentux.net/images/tables_traverse.jpg
Мне надо было по критерию  --dport www направлять пакеты через интерфейс
eth0. По умолчанию все ходило через eth3
Помогло следующее:
#echo 200 web >> /etc/iproute2/rt_tables
#iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 0x45
#iptables -t mangle -A OUTPUT -p tcp --dport 80 -j RETURN
#ip rule add fwmark 0x45 table web
#ip route add default via IP_ADDR dev eth0 table web
где IP_ADDR ип шлюза провайдера, подключенного по eth0.
Надеюсь, чем-то поможет в решении задачи. Все делалось на Debian.

>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080810/57872581/attachment-0002.html>