[Решено]Два интернет-соединения, ответ через резерв

Автор PolyMorph, 26 ноября 2013, 11:51:09

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

PolyMorph

Здравствуйте! Есть шлюз, в него входят два интернет-соединения, eth1 и eth3. Eth1 используется как шлюз по умолчанию, eth3 - резервная линия. Все работает хорошо, пока кто-либо не пытается установить соединение через eth3 (ovpn, почтовики) - запрос идет через eth3, ответ через eth1, что не есть хорошо. Какое правило в iptables спасет меня? Заранее спасибо.
P.S. Можно ли обойтись без дублирования правил, если они одинаковы для обоих интерфейсов? К примеру, правило -A INPUT -p tcp -m tcp -i eth1 --dport 3128 -j REJECT должно выполняться и для eth3. Можно ли как-то обозначить совокупность интерфейсов и использовать это? eth1 + eth3 = ifout или что-то вроде этого.

315th

Цитата: PolyMorph от 26 ноября 2013, 11:51:09запрос идет через eth3, ответ через eth1, что не есть хорошо. Какое правило в iptables спасет меня?
Никакое. Вернее один iptables не спасёт.
Цитата: PolyMorph от 26 ноября 2013, 11:51:09К примеру, правило -A INPUT -p tcp -m tcp -i eth1 --dport 3128 -j REJECT должно выполняться и для eth3.
Не должно. Сами смотрите на правило, в частности на --in-interface (-i). Так как Вы хотите сделать можно поменяв политику цепочки INPUT на DROP

-P INPUT DROP
-A INPUT -s $LANADDR -p tcp -m tcp --dport 3128 -j ACCEPT

У вас собственно проблема не с iptables, а с iproute. Хотите ответ с того интерфейса, на который был выполнен запрос - раскуривайте LARTC.
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz

PolyMorph

#2
Цитата: 315th от 26 ноября 2013, 14:55:04Не должно. Сами смотрите на правило, в частности на --in-interface (-i). Так как Вы хотите сделать можно поменяв политику цепочки INPUT на DROP
Немного некорректно выразился, должно выполняться - в смысле, мне так нужно сделать. Жаль, придется правила дублировать, не хотелось так делать.
Цитата: 315th от 26 ноября 2013, 14:55:04Хотите ответ с того интерфейса, на который был выполнен запрос - раскуривайте LARTC.
Спасибо, сейчас приступлю.

Нашел нужное! http://www.opennet.ru/docs/RUS/LARTC/x348.html