Доброго времени суток комрады.
Имеем след.
два микро объеденены в виртуальную подсеть.
вопрос с одним из них.
есть 4 шланга, 3 на внешние локальные ресурсы провайдеров, и 1 на локальную подсеть, и виртуальный интерфейс который смотрит в сторону второго микрокротика и в этот рртр смотрит ноль маршрут (основной инет канал находится там).
что я хочу добавить, бросить еще один ноль маршрут и каким то образом нарисовать правила с этого IP по этому ноль маршруту ходить а с этого IP по другому ноль маршруту ходить.
подскажите как замутить сию радость.
Два внешних интерфейса
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Код: Выделить всё
ip firewall mangle add action=mark-routing routing-mark=from_ip1 chain=prerouting src-address=IP1
ip route add routing-mark=from_ip1 dst-address=0.0.0.0/0 gateway=GW_IP1
суть:
красим пакеты от IP1 маршрутными маркерами from_ip1, а потом выстреливаем эти пакеты в сторону GW_IP1
-
- Сообщения: 51
- Зарегистрирован: 11 апр 2011, 10:58
большое спасибо, принцип понял раскурим, подскажи плз еще вопросец, как напроч заблокировать трассирофку от ненужных падлецов? если перекрыть трасерт на мне они увидят последующие прыжки, вот и подумал а можно промаркировать трасерт пакеты и бросить их в зону заглушку?
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Код: Выделить всё
/ip firewall filter add action=drop chain=input protocol=icmp
/ip firewall filter add action=drop chain=forward protocol=icmp
первым закрываем ответ самого мтика, вторым запрещаем передачу пакетов icmp между интерфейсами.
если захотите открыть пинг кому то доброму и пушистому, то соответственно перед этими правилами размещаем разрешения.
можете даже хитро отвечать на запрос, вместо action=drop, писать action=reject reject-with=icmp-host-unreachable
-
- Сообщения: 51
- Зарегистрирован: 11 апр 2011, 10:58
попробовал два правила кот Вы дали, единственное побаловался с откуда и куда (глушить трассерт нужно только на один выходной рртр тунель, остальная же маршрутизация пускай будет открытая) все что получилось заблокировать пинги, а трассировка как гуляла так и идет (
-
- Сообщения: 51
- Зарегистрирован: 11 апр 2011, 10:58
ссорян туплю, почитал про трасерт, тестил с линукса а блочил ICMP. все понял, ICMP трасерт использует Win системы, линукс может и на tcp и на udp и на icmp и на гре, так что залочить трасерт с линукс систем придется еще гре перекрыть и порты по удп и тсп