Sziasztok! Van egy linux tűzfal (Debian etch, 2.6.18-6-686 kernellel), annak van két netkapcsolata: egy mikrós és egy tartalék adsl. Fut rajta egy asterisk, de lehetne akármi más is. Azt szeretném elérni, hogy az adott gép adott portját mindig az adsl -en keresztül érje el a tűzfalam.
ip rule -lal meg van adva, hogy ha fwmark==20, akkor azt a route táblát válassza, amelyik az adsl -t használja. Ez viszont nem működik: iptables -t mangle -A OUTPUT --dst xxxxxxx.hu -p udp --dport 5060 -j MARK --set-mark 20 Ugyanez ez viszont megy: iptables -t mangle -A PREROUTING --src 172.30.30.253 --dst xxxxxxx.hu -p udp --dport 5060 -j MARK --set-mark 10 Tehát ha egy belső hálós gép ugyanoda menő csomagját jelölöm meg egy másik értékkel, akkor az a 10 -es mark -os route táblán megy keresztül. Ez: http://www.frozentux.net/iptables-tutorial/chunkyhtml/c962.html és ez: http://www.debian-administration.org/articles/379 szerint is is működnie kéne a dolognak, mert a mangle output után van egy másik "routig decision". De még sem, mert a tűzfalszabály számlálója növekszik, de a csomag a main rt. tábla szerint megy ki, az abban lévő def. gw. felé. Ezek vannak a mangle táblában: Chain PREROUTING (policy ACCEPT 5307 packets, 710K bytes) pkts bytes target prot opt in out source destination Ezek azért kellenek, hogy működjön mindkét dnat szabály: MIKROIP:xxx -> belsősip:yyyy és ADSLIP:xxx -> belsősip:yyyy is. (Ezek szerintem nem zavarhatnak be.) 65095 6921K CONNMARK 0 -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore 59804 6211K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 MARK match !0x0 1072 122K MARK 0 -- eth3 * 0.0.0.0/0 0.0.0.0/0 MARK set 0xa 28 2400 MARK 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0 MARK set 0x14 5291 710K CONNMARK 0 -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK save Ez a már fentebb említett működő. 1 838 MARK udp -- * * 172.30.30.253 xxxxxxx.hu udp dpt:5060 MARK set 0xa Végül is a dolgot megoldotta a sip.conf -ban és az rtp.conf -ban egy bindaddr=adslip sor, de azért érdekelne a megoldás. köszi, üdv, SA P Mielőtt kinyomtatná ezt az e-mailt, gondoljon a KÖRNYEZETVÉDELEMRE / Before printing this mail, think about ENVIRONMENTAL responsibility __________ Information from ESET NOD32 Antivirus, version of virus signature database 4740 (20100103) __________ The message was checked by ESET NOD32 Antivirus. http://www.eset.com _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux