Два внешних интерфейса

Обсуждение ПО и его настройки
Ответить
lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

Доброго времени суток комрады.
Имеем след.
два микро объеденены в виртуальную подсеть.
вопрос с одним из них.

есть 4 шланга, 3 на внешние локальные ресурсы провайдеров, и 1 на локальную подсеть, и виртуальный интерфейс который смотрит в сторону второго микрокротика и в этот рртр смотрит ноль маршрут (основной инет канал находится там).

что я хочу добавить, бросить еще один ноль маршрут и каким то образом нарисовать правила с этого IP по этому ноль маршруту ходить а с этого IP по другому ноль маршруту ходить.
подскажите как замутить сию радость.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

ip firewall mangle add action=mark-routing routing-mark=from_ip1 chain=prerouting src-address=IP1
ip route add routing-mark=from_ip1 dst-address=0.0.0.0/0 gateway=GW_IP1

суть:
красим пакеты от IP1 маршрутными маркерами from_ip1, а потом выстреливаем эти пакеты в сторону GW_IP1


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

большое спасибо, принцип понял раскурим, подскажи плз еще вопросец, как напроч заблокировать трассирофку от ненужных падлецов? если перекрыть трасерт на мне они увидят последующие прыжки, вот и подумал а можно промаркировать трасерт пакеты и бросить их в зону заглушку?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

/ip firewall filter add action=drop chain=input protocol=icmp
/ip firewall filter add action=drop chain=forward protocol=icmp

первым закрываем ответ самого мтика, вторым запрещаем передачу пакетов icmp между интерфейсами.
если захотите открыть пинг кому то доброму и пушистому, то соответственно перед этими правилами размещаем разрешения.
можете даже хитро отвечать на запрос, вместо action=drop, писать action=reject reject-with=icmp-host-unreachable


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

попробовал два правила кот Вы дали, единственное побаловался с откуда и куда (глушить трассерт нужно только на один выходной рртр тунель, остальная же маршрутизация пускай будет открытая) все что получилось заблокировать пинги, а трассировка как гуляла так и идет (


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

ссорян туплю, почитал про трасерт, тестил с линукса а блочил ICMP. все понял, ICMP трасерт использует Win системы, линукс может и на tcp и на udp и на icmp и на гре, так что залочить трасерт с линукс систем придется еще гре перекрыть и порты по удп и тсп


Ответить