Dmitry Fedoseev -> debian-russian@lists.debian.org @ Thu, 12 May 2005 16:52:16 +0600:
>> > Настройка DNAT - дело нехитрое. Непонятно вот что - если клиен >> > т "входит" >> > со стороны провайдера2, то как направить ответный трафик через >> > этого же >> > провайдера2, а не по дефолтному маршруту? >> >> Маркировать пакеты на интерфейсе с помощью iptables -j MARK и >> разруливать с помощью ip route (разные таблицы роутинга для разных >> интерфейсов). Advanced Routing HowTо, кажется, называется документ, >> в котором подобная ситуация хорошо описана. DF> Документ хорош, спору нет. Но... DF> Приходящим от провайдера1 SYN делаем --set-mark 1 DF> Приходящим от провайдера2 SYN делаем --set-mark 2 DF> Оба SYN попали на целевой хост и он дважды ответил ACK. Если ACK будут DF> иметь маркеры, соответствующие своим SYN, то разрулить эти ACK на DF> маршрутизаторе - не проблема. DF> Но если маркеры не сохраняются, то на основании чего их можно DF> восстановить? DF> Чтение lartc прямого ответа не дало. Плохо читал? Видимо. Роутить надо на основании исходящего адреса. А его DNAT выставит правильно - соответственно тому, на который входили. Иначе сессия не установится. -- Artem Chuprina RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED] НИИ требуются: 1. Кто бы мог подумать. Кнышев. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]