[Sysadmins] iptables и цель ROUTE

[Olvin]

Pavel пишет:
>>>> $ ping ya.ru
>>>> connect: Network is unreachable
>>> Имя, как я понял, разрешить не удается?
>> В том то и дело, что удаётся. Иначе не было бы сообщения "Network 
>> unreachable".
> А где у тебя DNS? В homelan? Имхо, это сообщение из-за невозможности 
> найти маршрут к нему.
> На данный момент у тебя _все_ (в т.ч. DNS-запросы) 
> от пользователя user1 уходят _только_ через ppp0:
> # ip route show table 101
> default dev ppp0  scope link

Если бы не был доступен по какой-либо причине DNS, оно бы просто 
написало "unknown host"

>>> Сперва пропиши маршруты в homelan (и, возможно, еще к своему
>>> DNS-серверу, если он у тебя не в ней) в таблицах 101 и 102.
>> Зачем? Всё, что идёт на intranet адреса - идёт по таблице main 
>> независимо от пользователя. Это видно из приведённых правил.
> До таблицы main меченные пакеты не доходят - у нее номер 32766, а у 
> твоего правила "from all fwmark 0x1 lookup 101" номер 101 (PRDB 
> просматривается до первого подходящего правила, в порядке увеличения 
> номера).

Вы невнимательны. Правило №11,12 и 13 отрабатывают ДО 101 и 102. Они и 
отвечают за поиск по таблице main. DNS находится в локальной сети.

# ip rule
0:      from all lookup local
11:     from all to 10.0.0.0/8 lookup main
12:     from all to 172.16.0.0/12 lookup main
13:     from all to 192.168.0.0/16 lookup main
101:    from all fwmark 0x1 lookup 101
102:    from all fwmark 0x2 lookup 102
32766:  from all lookup main
32767:  from all lookup default