USSR Team Forum - Показать сообщение отдельно

**USSRxV_NMad** · 21.11.2009, 21:46

�*та конструкция по логике не должна работать ибо если пакет пришел на IP=10.0.0.1 от 192.168.0.1 то уйти он должен так же с 10.0.0.1 IP и интерфейса куда он зашел ИНАЧЕ если пакет замаскируется IP 10.0.0.2(наш 2й провайдер) и будет пытаться выйти через шлюзы 1го провайдера то вопервых нормальный пров. такой пакет не выпустит в мир, а если даже и выпустит то клиент 192.168.0.1 оболдеет от такого ответа и не примет такой пакет так как он будет ждать ответа с 10.0.0.1

Цитата:

iptables -t mangle -N NEW_OUT_CONN
iptables -t mangle -A PREROUTING -s 10.100.0.0/24 -m state --state NEW,RELATED -j NEW_OUT_CONN # Выбираем новые сессии
iptables -t mangle -A PREROUTING -s 10.100.0.0/24 -j CONNMARK --restore-mark # Восстанавливает значение nfmark из CONNMARK

iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 0
iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 3 -j RETURN # Каждый третий пакет
iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 1
iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 2 -j RETURN # Каждый второй пакет
iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 2

поэтому то ли ты что-то не то выдрал(может в статье пытались сделать балансировку внутри уже сети, допустим разгрузить MySQL сервер запросами от клиентов в этой же сети, то тогда сработал бы такой вариант наверно)

значит давай вернемся к первой конструкции и проверим ее, с такими mark'ами как предлагал я т.е.

Цитата:

iptables -t mangle -A PREROUTING -i eth4 -m conntrack --ctorigdst 10.100.100.200 -j MARK --set-mark 0х11
iptables -t mangle -A PREROUTING -i eth4 -m conntrack --ctorigdst 87.251.185.x -j MARK --set-mark 0х12
iptables -t mangle -A PREROUTING -i eth4 -m conntrack --ctorigdst 217.174.164.x -j MARK --set-mark 0х13

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 61388 -j DNAT --to-destination 10.100.0.2:61388
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 61388 -j DNAT --to-destination 10.100.0.2:61388
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 61388 -j DNAT --to-destination 10.100.0.2:61388

iptables -t nat -A POSTROUTING -s 0/0 -o ppp0 -j MASQUERADE(маскируем каким каналом по умолчанию ??? должно стоять -o eth0\2\ppp0 и т.д.)

iptables -t filter -A FORWARD -o eth4 -d 10.100.0.2 -p tcp -m tcp --dport 61388 -j ACCEPT

и приведи ip rule show
ip route list table (таблица с маршрутами по 2м каналам, кроме DF GW)

кстате хочу напомнить тебе мы сейчас говорим о вопросе раздачи с торрента, т.е. чтоб нагрузить отдачу с тебя со всех каналов, только вот вопрос как реализовано в торрент программе, с каким IP ты светишься на раздаче ? твой DF ROUTE IP ?