Мисля, че ме насочи в правилната посока. Намерих една статия по въпроса: http://linux-ip.net/html/adv-multi-internet.html.
Пичовете имат точно нашия проблем: 2 Интернет доставчика и искат да рутират HTTP и HTTPS трафика към вътрешна машина от локалната им мрежа. Изглежда разбираемо и ще го пробвам в близките дни. Поздрави, Наков -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Dragomir Zhelev Sent: Wednesday, October 01, 2008 9:29 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] Problem s iptables Здравей, това е съвсем нормално защото доставчика който ти е и default gw не пропуска src IP адреса на другия ти доставчик. Освен с маркиране задачката може да се реши и с ip rules ето ти и един пример : ip ru add from <IP_ISP2> table 100 ip r a default via <ISP2_GW> t 100 където ISP2 ти е доставчика които не е default gw. Надявам се да съм бил ясен. Поздрави. On Tuesday 30 September 2008 19:42:15 Svetlin Nakov wrote: > Здравейте, > > > > В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси. > Направил съм си port forward от външните IP адреси към няколко вътрешни > ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025). > > > > Сега имам следния проблем: Като дам за default gateway единия доставчик, > имаме Интернет в офиса (по първия канал), но от Интернет работи само > неговото IP (другото отговаря на ping, но не пренася портовете към > вътрешните сървъри). Като дам за default gateway другия доставчик (втория > канал), пак имаме Интернет в офиса (по втория канал), но от Интернет работи > само второто IP. > > > > Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от > двата реални IP адреса едновременно. > > > > Разследвах какво става с iptraf и tcpdump и установих, че на пакетите, > които идват по втория канал (който не е default gateway) им се отговаря по > първия канал. Много странно поведение. Вероятно не правя коректно port > forwarding настройките. > > > > Прилагам настройките, които ползвам: > > > > --------------------------------------------------------------------------- >- -------------------------------- > > > > [EMAIL PROTECTED] root]# ifconfig > > eth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FD > > inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > RX packets:49070 errors:0 dropped:0 overruns:0 frame:0 > > TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0 > > collisions:0 txqueuelen:100 > > RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb) > > Interrupt:12 Base address:0xf000 > > > > eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CD > > inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0 > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > RX packets:140103 errors:0 dropped:0 overruns:0 frame:0 > > TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0 > > collisions:0 txqueuelen:100 > > RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb) > > Interrupt:10 Base address:0x1000 > > > > eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4 > > inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > RX packets:262 errors:0 dropped:0 overruns:0 frame:0 > > TX packets:179 errors:0 dropped:0 overruns:0 carrier:0 > > collisions:0 txqueuelen:100 > > RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb) > > Interrupt:11 Base address:0x3000 > > > > eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63 > > inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0 > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > RX packets:237430 errors:0 dropped:0 overruns:0 frame:0 > > TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0 > > collisions:0 txqueuelen:100 > > RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb) > > Interrupt:12 Base address:0x5000 > > > > lo Link encap:Local Loopback > > inet addr:127.0.0.1 Mask:255.0.0.0 > > UP LOOPBACK RUNNING MTU:16436 Metric:1 > > RX packets:581 errors:0 dropped:0 overruns:0 frame:0 > > TX packets:581 errors:0 dropped:0 overruns:0 carrier:0 > > collisions:0 txqueuelen:0 > > RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb) > > > > tun0 Link encap:Point-to-Point Protocol > > inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255 > > UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 > > RX packets:220 errors:0 dropped:0 overruns:0 frame:0 > > TX packets:174 errors:0 dropped:0 overruns:0 carrier:0 > > collisions:0 txqueuelen:100 > > RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb) > > > > --------------------------------------------------------------------------- >- -------------------------------- > > > > [EMAIL PROTECTED] root]# route > > Kernel IP routing table > > Destination Gateway Genmask Flags Metric Ref Use > Iface > > 192.168.3.2 * 255.255.255.255 UH 0 0 0 > tun0 > > 192.168.6.0 * 255.255.255.0 U 0 0 0 > eth3 > > 192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0 > tun0 > > 192.168.2.0 * 255.255.255.0 U 0 0 0 > eth1 > > 192.168.1.0 * 255.255.255.0 U 0 0 0 > eth2 > > 192.168.0.0 * 255.255.255.0 U 0 0 0 > eth0 > > 127.0.0.0 * 255.0.0.0 U 0 0 0 lo > > default 192.168.6.1 0.0.0.0 UG 0 0 0 > eth3 > > > > --------------------------------------------------------------------------- >- -------------------------------- > > > > [EMAIL PROTECTED] root]# cat /etc/sysconfig/iptables > > > > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 > > *nat > > :PREROUTING ACCEPT [3826028:450721308] > : > :POSTROUTING ACCEPT [489166:30731077] > : > :OUTPUT ACCEPT [501461:32049378] > > # DEV port forward > > -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to > 192.168.0.24:443 > > -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to > 192.168.0.24:443 > > > > # PROJECT port forward > > -A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to > 192.168.0.25:443 > > -A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to > 192.168.0.25:443 > > > > -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 > > -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 > > -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 > > -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 > > COMMIT > > > > # Completed on Tue Feb 3 18:59:36 2004 > > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 > > > > *mangle > > :PREROUTING ACCEPT [36497804:22370690460] > : > :INPUT ACCEPT [10012719:4687680109] > : > :FORWARD ACCEPT [26410023:17675681338] > : > :OUTPUT ACCEPT [10461124:5342939882] > : > :POSTROUTING ACCEPT [36825304:23005473811] > > COMMIT > > > > # Completed on Tue Feb 3 18:59:36 2004 > > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 > > *filter > > :INPUT ACCEPT [10647040:4805420467] > : > :FORWARD ACCEPT [26911698:17913658231] > : > :OUTPUT ACCEPT [10530480:5353253885] > > # DEV port forward > > -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT > > > > # PROJECT port forward > > -A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT > > > > # Filter NET2 to NET0 traffic > > -A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j > ACCEPT > > -A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP > > > > COMMIT > > > > --------------------------------------------------------------------------- >- -------------------------------- > > > > Някой има ли идея къде бъркам? > > > > Svetlin Nakov > > Director Training and Consulting Activities > > National Academy for Software Development > > http://academy.devbg.org _______________________________________________ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
