[Решено]Два интернет-соединения, ответ через резерв

[PolyMorph]

Здравствуйте! Есть шлюз, в него входят два интернет-соединения, eth1 и eth3. Eth1 используется как шлюз по умолчанию, eth3 - резервная линия. Все работает хорошо, пока кто-либо не пытается установить соединение через eth3 (ovpn, почтовики) - запрос идет через eth3, ответ через eth1, что не есть хорошо. Какое правило в iptables спасет меня? Заранее спасибо.
P.S. Можно ли обойтись без дублирования правил, если они одинаковы для обоих интерфейсов? К примеру, правило -A INPUT -p tcp -m tcp -i eth1 --dport 3128 -j REJECT должно выполняться и для eth3. Можно ли как-то обозначить совокупность интерфейсов и использовать это? eth1 + eth3 = ifout или что-то вроде этого.

[315th]

запрос идет через eth3, ответ через eth1, что не есть хорошо. Какое правило в iptables спасет меня?

Никакое. Вернее один iptables не спасёт.

К примеру, правило -A INPUT -p tcp -m tcp -i eth1 --dport 3128 -j REJECT должно выполняться и для eth3.

Не должно. Сами смотрите на правило, в частности на --in-interface (-i). Так как Вы хотите сделать можно поменяв политику цепочки INPUT на DROP

Код Выделить Развернуть


-P INPUT DROP
-A INPUT -s $LANADDR -p tcp -m tcp --dport 3128 -j ACCEPT
У вас собственно проблема не с iptables, а с iproute. Хотите ответ с того интерфейса, на который был выполнен запрос - раскуривайте LARTC.

[PolyMorph]

Не должно. Сами смотрите на правило, в частности на --in-interface (-i). Так как Вы хотите сделать можно поменяв политику цепочки INPUT на DROP

Немного некорректно выразился, должно выполняться - в смысле, мне так нужно сделать. Жаль, придется правила дублировать, не хотелось так делать.

Хотите ответ с того интерфейса, на который был выполнен запрос - раскуривайте LARTC.

Спасибо, сейчас приступлю.

Нашел нужное! http://www.opennet.ru/docs/RUS/LARTC/x348.html