Страница 1 из 1

Два внешних интерфейса

Добавлено: 18 янв 2013, 09:21
lav1
Доброго времени суток комрады.
Имеем след.
два микро объеденены в виртуальную подсеть.
вопрос с одним из них.

есть 4 шланга, 3 на внешние локальные ресурсы провайдеров, и 1 на локальную подсеть, и виртуальный интерфейс который смотрит в сторону второго микрокротика и в этот рртр смотрит ноль маршрут (основной инет канал находится там).

что я хочу добавить, бросить еще один ноль маршрут и каким то образом нарисовать правила с этого IP по этому ноль маршруту ходить а с этого IP по другому ноль маршруту ходить.
подскажите как замутить сию радость.

Re: Два внешних интерфейса

Добавлено: 18 янв 2013, 09:59
simpl3x

Код: Выделить всё

ip firewall mangle add action=mark-routing routing-mark=from_ip1 chain=prerouting src-address=IP1
ip route add routing-mark=from_ip1 dst-address=0.0.0.0/0 gateway=GW_IP1

суть:
красим пакеты от IP1 маршрутными маркерами from_ip1, а потом выстреливаем эти пакеты в сторону GW_IP1

Re: Два внешних интерфейса

Добавлено: 20 янв 2013, 20:32
lav1
большое спасибо, принцип понял раскурим, подскажи плз еще вопросец, как напроч заблокировать трассирофку от ненужных падлецов? если перекрыть трасерт на мне они увидят последующие прыжки, вот и подумал а можно промаркировать трасерт пакеты и бросить их в зону заглушку?

Re: Два внешних интерфейса

Добавлено: 20 янв 2013, 23:25
simpl3x

Код: Выделить всё

/ip firewall filter add action=drop chain=input protocol=icmp
/ip firewall filter add action=drop chain=forward protocol=icmp

первым закрываем ответ самого мтика, вторым запрещаем передачу пакетов icmp между интерфейсами.
если захотите открыть пинг кому то доброму и пушистому, то соответственно перед этими правилами размещаем разрешения.
можете даже хитро отвечать на запрос, вместо action=drop, писать action=reject reject-with=icmp-host-unreachable

Re: Два внешних интерфейса

Добавлено: 22 янв 2013, 07:44
lav1
попробовал два правила кот Вы дали, единственное побаловался с откуда и куда (глушить трассерт нужно только на один выходной рртр тунель, остальная же маршрутизация пускай будет открытая) все что получилось заблокировать пинги, а трассировка как гуляла так и идет (

Re: Два внешних интерфейса

Добавлено: 22 янв 2013, 07:55
lav1
ссорян туплю, почитал про трасерт, тестил с линукса а блочил ICMP. все понял, ICMP трасерт использует Win системы, линукс может и на tcp и на udp и на icmp и на гре, так что залочить трасерт с линукс систем придется еще гре перекрыть и порты по удп и тсп