https://opennet.ru/openforum/vsluhforumID1/69133.html Ситуация в следующем: <br>- два провайдера с разными сетями;<br>- primary mx (серый ip);<br>- secondary mx (серый ip);<br>- шлюз с 4-мя интерфейсами<br><br>на шлюзе, к которому заведены оба провайдера, smtp трафик пробрасывается с помощью dnat.<br>правила абсолютно идентичные, за исключением, конечно имен интерфейсов и ip адресов шлюза и ip адресов mx-ов.<br><br>первый набор правил работает отлично.<br>$IPTABLES -t nat -A PREROUTING -i $IF1 -p tcp -d $IP1 --dport $SMTP_PORT -j DNAT --to-destination $MX1_IP<br><br>$IPTABLES -A FORWARD -i $IF1 -p tcp -m state --state NEW -d $MX1_IP --dport $SMTP_PORT -j ACCEPT<br><br><br>аналогичное правило для интерфейса второго провайдера ни в какую не хочет тарахтеть.<br><br>счетчики цепочек показывают, что dnat отрабатывает, а в правиле форвардинга по нулям.<br>т.е. меняется адрес назначения, а дальше пакет пропадает.<br><br><br>сделал совсем радикально, в самом начале FORWARD я поставил правило LOG(на все что форвардится со второго интерфейса в локальную сеть) - ни одного пакета.<br><br><br>Маршруты ко всем этим сетям https://opennet.ru/openforum/vsluhforumID1/69133.html#22 Wed, 25 Aug 2010 04:02:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt;он возвращается по default route, игнорируя маршруты, прописаные в Т1 и <br>&gt;&gt;Т2. Т.е. iproute не отрабатывает.. Может, кто подскажет, куда дальше то <br>&gt;&gt;копать?? <br>&gt;<br>&gt;выше решение для статического распределения mx1 в один канал а mx2 в <br>&gt;другой <br>&gt;<br>&gt;а если надо динамически - с какого пришел маршрута на тот и <br>&gt;ушел - вот кто бы подсказал как, тоже себе всю голову <br>&gt;сломал <br><br>тоже надо пробросить с двух каналов на один внутренний хост, тоже не получается<br><br> https://opennet.ru/openforum/vsluhforumID1/69133.html#21 Wed, 16 Jun 2010 21:24:45 GMT &gt;Столкнулся с подобной проблемой. Если из инета обращаться к сервисам, которые висят <br>&gt;непосредственно на шлюзе (например ssh) то соединение происходит нормально по обоим <br>&gt;каналам связи. Если же запрос проходит DNAT, то назад в инет <br>&gt;он возвращается по default route, игнорируя маршруты, прописаные в Т1 и <br>&gt;Т2. Т.е. iproute не отрабатывает.. Может, кто подскажет, куда дальше то <br>&gt;копать?? <br><br>выше решение для статического распределения mx1 в один канал а mx2 в другой<br><br>а если надо динамически - с какого пришел маршрута на тот и ушел - вот кто бы подсказал как, тоже себе всю голову сломал<br><br> https://opennet.ru/openforum/vsluhforumID1/69133.html#20 Wed, 27 Aug 2008 08:39:10 GMT &gt;&gt;&gt;счетчики цепочек показывают, что dnat отрабатывает, а в правиле форвардинга по нулям. <br>&gt;<br>&gt;дак получилось или нет настроить? столкнулся с такой же проблемой, грешу на <br>&gt;rp_filter <br><br>Правильно грешишь, он виноват:<br><br>Была аналогичная проблемма, только провов побольше.<br>Помогло отключение rp_filter:<br>net.ipv4.conf.default.rp_filter=0<br>net.ipv4.conf.all.rp_filter=0<br><br> https://opennet.ru/openforum/vsluhforumID1/69133.html#19 Tue, 13 Feb 2007 16:14:01 GMT Столкнулся с подобной проблемой. Если из инета обращаться к сервисам, которые висят непосредственно на шлюзе (например ssh) то соединение происходит нормально по обоим каналам связи. Если же запрос проходит DNAT, то назад в инет он возвращается по default route, игнорируя маршруты, прописаные в Т1 и Т2. Т.е. iproute не отрабатывает.. Может, кто подскажет, куда дальше то копать?? https://opennet.ru/openforum/vsluhforumID1/69133.html#18 Tue, 23 Jan 2007 15:37:10 GMT &gt;&gt;&gt;счетчики цепочек показывают, что dnat отрабатывает, а в правиле форвардинга по нулям. <br>&gt;<br>&gt;дак получилось или нет настроить? столкнулся с такой же проблемой, грешу на <br>&gt;rp_filter <br><br><br>да получилось.<br>когда я открыл для себя iproute2 :) до этого как-то не приходилось...<br><br><br>смысл был в том, что dnat отрабатывал, и пакет убегал через default gateway, а не через второго провайдера.<br><br>добавил два ip rule, для каждого почтового сервера и сделал две таблицы.<br>в первой прописал default gateway одного прова, а во второй другого - теперь mx1 и mx2 ходят через разных провайдеров.<br><br>если не получится, пиши, я сброшу свои правила.<br> https://opennet.ru/openforum/vsluhforumID1/69133.html#17 Tue, 23 Jan 2007 12:55:47 GMT &gt;&gt;счетчики цепочек показывают, что dnat отрабатывает, а в правиле форвардинга по нулям. <br><br>дак получилось или нет настроить? столкнулся с такой же проблемой, грешу на rp_filter https://opennet.ru/openforum/vsluhforumID1/69133.html#16 Sat, 30 Sep 2006 11:20:49 GMT поставь net.ipv4.conf.default.rp_filter в 0 обязательно<br>и правила в ip rule между серыми сетями<br> https://opennet.ru/openforum/vsluhforumID1/69133.html#15 Fri, 29 Sep 2006 10:36:28 GMT &gt;счетчики цепочек показывают, что dnat отрабатывает, а в правиле форвардинга по нулям. <br>&gt;<br>Извиняюсь, если не в тему скажу, так как некогда вчитываться. Так, в порядке бреда.<br>Может не хватает каких-то опций в ядре?<br>Я тут впервые настраивал подключение ко второму провайдеру через связку natd-ipfw. Оказалось, что мало иметь в ядре опции IPDIVERT, IPFIREWALL, IPFIREWALL_FORWARD, но обязательно IPFIREWALL_FORWARD_EXTENDED иначе правило fwd в следующем примере не работало.<br><br> divert natd tcp from ${lan_net} to any 80,443 recv ${lan_if}<br> fwd ${def2_ip} tcp from ${wan2_ip} to any 80,443<br> divert natd tcp from any 80,443 to ${wan2_ip} recv ${wan2_if}<br> pass tcp from any 80,443 to any via ${wan2_if}<br> deny ip from any to any via ${wan2_if}<br><br> <br><br><br> https://opennet.ru/openforum/vsluhforumID1/69133.html#14 Tue, 26 Sep 2006 10:32:52 GMT пока что идеи иссякли...