2 провайдера и 2 интернета одновременно

[romkaromka]

Итак имеется 2 провайдера: один подключен на ppp0, которое поднято на eth0, и является провайдером по умолчанию, второй подключен на eth1. Локальные их сети работают одновременно.
Задача: пустить весь трафик торрент-клиента на провайдера ppp0, а все остальное - на провайдера eth1.
Ваши идеи как это реализовать.

[olelukoie]

Итак имеется 2 провайдера: один подключен на ppp0, которое поднято на eth0, и является провайдером по умолчанию, второй подключен на eth1. Локальные их сети работают одновременно.
Задача: пустить весь трафик торрент-клиента на провайдера ppp0, а все остальное - на провайдера eth1.
Ваши идеи как это реализовать.

Я, конечно, не специалист по сетям, но подозреваю, что никак это не реализовать. Чтобы разделить трафик между двумя сетями (сетевыми интерфейсами), надо прописать маршруты к целевым IP (явно или через маски) через соответствующие шлюзы, а как Вы заранее определите IP пиров в торренте? Но, возможно, я ошибаюсь и способ все же есть...

[akdengi]

Итак имеется 2 провайдера: один подключен на ppp0, которое поднято на eth0, и является провайдером по умолчанию, второй подключен на eth1. Локальные их сети работают одновременно.
Задача: пустить весь трафик торрент-клиента на провайдера ppp0, а все остальное - на провайдера eth1.
Ваши идеи как это реализовать.

Я, конечно, не специалист по сетям, но подозреваю, что никак это не реализовать. Чтобы разделить трафик между двумя сетями (сетевыми интерфейсами), надо прописать маршруты к целевым IP (явно или через маски) через соответствующие шлюзы, а как Вы заранее определите IP пиров в торренте? Но, возможно, я ошибаюсь и способ все же есть...

Тут есть конечно возможность пускать потоки по разным портам через разные сетевые устройства. Но опять же надо знания иметь что и как. Посмотрите что-то типа разделение трафика по портам...

[romkaromka]

Использую ktorrent в его настройках в разделе Сеть есть Сетевой интерфейс (какой сетевой интерфейс будет использоваться для всего сетевого трафика, необходим перезапуск - это подсказка при наводке мышкой), выбираю eth1, торрент продолжает качать с провайдера ppp0, все сайты тоже идут через провайдера ppp0. Чего это за опция такая если от нее толку нет. Может есть другой торрент-клиент для kde, где бы это работало?

[olelukoie]

Использую ktorrent в его настройках в разделе Сеть есть Сетевой интерфейс (какой сетевой интерфейс будет использоваться для всего сетевого трафика, необходим перезапуск - это подсказка при наводке мышкой), выбираю eth1, торрент продолжает качать с провайдера ppp0, все сайты тоже идут через провайдера ppp0. Чего это за опция такая если от нее толку нет. Может есть другой торрент-клиент для kde, где бы это работало?

Есть deluge, но он не для KDE, а сам по себе. Есть Azureus (или как он там нынче называется). И есть uTorrent через WINE (говорят, что работает, но сам не пробовал), для которого:

net.bind_ip если у вас в системе несколько сетевых адаптеров, то укажите здесь IP адрес адаптера, который µT должен использовать для входящих соединений
net.outgoing_ip если у вас в системе несколько сетевых адаптеров, то укажите здесь IP адрес адаптера, который µT должен использовать для исходящих соединений
net.outgoing_port заставляет µT использовать только этот порт для исходящих соединений (обычно этот порт выбирается случайно для каждого соединения). Только для Windows 2000 и выше. Иногда настройка может не работать корректно. Эта настройка должна использоваться только в исключительных случаях. Может быть использованя для уменьшения количества NAT трансляций и таким образом предотвращения зависания некоторых моделей раутеров. Может быть использована для решения NAT проблемы входящих соединений в некоторых видах NAT

[romkaromka]

Использую ktorrent в его настройках в разделе Сеть есть Сетевой интерфейс (какой сетевой интерфейс будет использоваться для всего сетевого трафика, необходим перезапуск - это подсказка при наводке мышкой), выбираю eth1, торрент продолжает качать с провайдера ppp0, все сайты тоже идут через провайдера ppp0. Чего это за опция такая если от нее толку нет. Может есть другой торрент-клиент для kde, где бы это работало?

Есть deluge, но он не для KDE, а сам по себе. Есть Azureus (или как он там нынче называется). И есть uTorrent через WINE (говорят, что работает, но сам не пробовал), для которого:

net.bind_ip если у вас в системе несколько сетевых адаптеров, то укажите здесь IP адрес адаптера, который µT должен использовать для входящих соединений
net.outgoing_ip если у вас в системе несколько сетевых адаптеров, то укажите здесь IP адрес адаптера, который µT должен использовать для исходящих соединений
net.outgoing_port заставляет µT использовать только этот порт для исходящих соединений (обычно этот порт выбирается случайно для каждого соединения). Только для Windows 2000 и выше. Иногда настройка может не работать корректно. Эта настройка должна использоваться только в исключительных случаях. Может быть использованя для уменьшения количества NAT трансляций и таким образом предотвращения зависания некоторых моделей раутеров. Может быть использована для решения NAT проблемы входящих соединений в некоторых видах NAT

uTorrent через WINE у меня прекрасно работает. Настройка, Конфигурация, Дополнительно, Продвинутые настройки, там есть все эти параметры, но как настроить?

[romkaromka]

и какой смысл разделять входящие (то есть скачка) и исходящие (то есть отдача) соединения если каналы скачки и отдачи независимы друг от друга? мне же надо первостепенно получаемую из интернета информацию разделить по ppp0 и eth1 - торрент на ppp0, а сайты на eth1. Передача в интернет как пойдет меня мало волнует, так как очень мало чего передаю.

[olelukoie]

и какой смысл разделять входящие (то есть скачка) и исходящие (то есть отдача) соединения если каналы скачки и отдачи независимы друг от друга? мне же надо первостепенно получаемую из интернета информацию разделить по ppp0 и eth1 - торрент на ppp0, а сайты на eth1. Передача в интернет как пойдет меня мало волнует, так как очень мало чего передаю.

Ну так попробуйте сделать eth1 как дефолтный маршрут, а для uTorrent в параметр net.bind_ip пропишите IP от ppp0 и проверьте, что получилось...

[romkaromka]

и какой смысл разделять входящие (то есть скачка) и исходящие (то есть отдача) соединения если каналы скачки и отдачи независимы друг от друга? мне же надо первостепенно получаемую из интернета информацию разделить по ppp0 и eth1 - торрент на ppp0, а сайты на eth1. Передача в интернет как пойдет меня мало волнует, так как очень мало чего передаю.

Ну так попробуйте сделать eth1 как дефолтный маршрут, а для uTorrent в параметр net.bind_ip пропишите IP от ppp0 и проверьте, что получилось...

запущено ppp0 - это и есть дефолтный маршрут, это аксиома для меня, менять не могу в силу ряда причин: собьется алгоритм управления vpn полностью; также в силу несовершенства алгоритма, ppp0 в интерфейсах для NetAplet не существует, его только можно отключить (подробнее на Нужна помощь в тестировании настроек MS VPN в Drakconnect. в общем трогать его не надо. хотя идея хорошая.

[olelukoie]

ppp0 - это и есть дефолтный маршрут, это аксиома для меня, менять не могу в силу ряда причин... в общем трогать его не надо. хотя идея хорошая.

Тогда можно только последовать совету akdengi и покопать в сторону распределения трафика по портам. Стандартный порт HTTP имеет номер 80 - вот и попробуйте прописать трафик по этому порту через eth1. Если найдете, как это сделать, то можете также порты эл. почты и других стандартных служб прописать (если надо, конечно).

[XPIOH]

Тут похоже считают, что включенные в дистрибутив HOWTO читать вредно.

Запускайте нужную программу от определенного пользователя, а в iptables сделайте для этого пользователя правило. И все. Не надо отслеживать даже порты.

[romkaromka]

ppp0 - это и есть дефолтный маршрут, это аксиома для меня, менять не могу в силу ряда причин... в общем трогать его не надо. хотя идея хорошая.

Тогда можно только последовать совету akdengi и покопать в сторону распределения трафика по портам. Стандартный порт HTTP имеет номер 80 - вот и попробуйте прописать трафик по этому порту через eth1. Если найдете, как это сделать, то можете также порты эл. почты и других стандартных служб прописать (если надо, конечно).

Тут похоже считают, что включенные в дистрибутив HOWTO читать вредно.

Запускайте нужную программу от определенного пользователя, а в iptables сделайте для этого пользователя правило. И все. Не надо отслеживать даже порты.

образец команды дайте, пожалуйста. я в линуксе новичок и команды не выучил еще, но понимаю всё

[akdengi]

Тут похоже считают, что включенные в дистрибутив HOWTO читать вредно.

Запускайте нужную программу от определенного пользователя, а в iptables сделайте для этого пользователя правило. И все. Не надо отслеживать даже порты.

Просто не все здесь сисадмины к сожалению.

[XPIOH]

Чтобы все работало аккуратно и нужные программы работали по соответствующим интерфейсам необходимо настроить police routing - искать на opennet.ru - там подробная инструкчия. Потом man iptables, опция -m owner --uid-owner uid-пользователя -o интерфейс

[romkaromka]

Чтобы все работало аккуратно и нужные программы работали по соответствующим интерфейсам необходимо настроить police routing - искать на opennet.ru - там подробная инструкчия. Потом man iptables, опция -m owner --uid-owner uid-пользователя -o интерфейс

opennet.ru - ничего не нашел, ссылка не окончательная именно на инструкцию.
iptables -m [фиг знает чего дальше писать] -o eth1 - это всё, что удалось понять из написанного. разве будет такая команда работать? нет, конечно.
uid-пользователя где брать?
owner - чего такое текст команды или необходимо заменить на значение?
--uid-owner - чего такое текст команды или необходимо заменить на значение?
man iptables - нехорошо сюда посылать, там дебри на языке непонятном, не по-русски.
Вот почему если я пишу, то пишу так, что юзер понимает? Почему когда пишет akdengi, то я его понимаю. Потому что он преподаватель и доходчиво подает материал. Но почему когда я прошу о помощи и типа всезнающие типа помогают, то ничего не поймешь, а? Надо разжевывать чтобы было проще некуда.

[XPIOH]

Чтобы все работало аккуратно и нужные программы работали по соответствующим интерфейсам необходимо настроить police routing - искать на opennet.ru - там подробная инструкчия. Потом man iptables, опция -m owner --uid-owner uid-пользователя -o интерфейс

opennet.ru - ничего не нашел, ссылка не окончательная именно на инструкцию.
iptables -m [фиг знает чего дальше писать] -o eth1 - это всё, что удалось понять из написанного. разве будет такая команда работать? нет, конечно.
uid-пользователя где брать?
owner - чего такое текст команды или необходимо заменить на значение?
--uid-owner - чего такое текст команды или необходимо заменить на значение?
man iptables - нехорошо сюда посылать, там дебри на языке непонятном, не по-русски.
Вот почему если я пишу, то пишу так, что юзер понимает? Почему когда пишет akdengi, то я его понимаю. Потому что он преподаватель и доходчиво подает материал. Но почему когда я прошу о помощи и типа всезнающие типа помогают, то ничего не поймешь, а? Надо разжевывать чтобы было проще некуда.

Ваша задача лежит в плоскости понимания принципов маршрутизации по интерфейсу и определении правил, которые привязаны к идентефикатору пользователя. Если вы хотите решить вашу задачу, то надо понимать вышесказанное.

Policy routing

http://www.opennet.ru/tips/sml/92.shtml


Руководство по iptables

http://www.opennet.ru/docs/RUS/iptables/

[romkaromka]

Чтобы все работало аккуратно и нужные программы работали по соответствующим интерфейсам необходимо настроить police routing - искать на opennet.ru - там подробная инструкчия. Потом man iptables, опция -m owner --uid-owner uid-пользователя -o интерфейс

opennet.ru - ничего не нашел, ссылка не окончательная именно на инструкцию.
iptables -m [фиг знает чего дальше писать] -o eth1 - это всё, что удалось понять из написанного. разве будет такая команда работать? нет, конечно.
uid-пользователя где брать?
owner - чего такое текст команды или необходимо заменить на значение?
--uid-owner - чего такое текст команды или необходимо заменить на значение?
man iptables - нехорошо сюда посылать, там дебри на языке непонятном, не по-русски.
Вот почему если я пишу, то пишу так, что юзер понимает? Почему когда пишет akdengi, то я его понимаю. Потому что он преподаватель и доходчиво подает материал. Но почему когда я прошу о помощи и типа всезнающие типа помогают, то ничего не поймешь, а? Надо разжевывать чтобы было проще некуда.

Ваша задача лежит в плоскости понимания принципов маршрутизации по интерфейсу и определении правил, которые привязаны к идентефикатору пользователя. Если вы хотите решить вашу задачу, то надо понимать вышесказанное.

Policy routing

http://www.opennet.ru/tips/sml/92.shtml


Руководство по iptables

http://www.opennet.ru/docs/RUS/iptables/

напишите образец команды подробный с комментариями, и какой параметр где брать, поставив себя на место юзера. я ведь непонятные мне вопросы спросил, но ответа так и не получил. понять эти две статьи мне нереально, потому что там воды много, а я по существу вопрос поставил.
iptables -m [фиг знает чего дальше писать] -o eth1 - это всё, что удалось понять из написанного. разве будет такая команда работать? нет, конечно.
uid-пользователя где брать?
owner - чего такое текст команды или необходимо заменить на значение?
--uid-owner - чего такое текст команды или необходимо заменить на значение?

[XPIOH]

Ваша ситуация. У вас 2 интерфейса к двум провайдерам. Вам надо, чтобы одна программа шла через 1 интерфейс, а остальное шлепало через другой. В вашем (на данный момент) ситуации, как и в mswindows существует одна таблица маршрутизации в которой написаны сети к которм подключены ваши интерфейсы и default ( 0.0.0.0/0 ) - куда система посылает пакет, если этой сети нет в таблице маршрутизации. Вам же надо:
- для каждого интерфейса определить свой шлюз куда совать пакеты для неизвестной сети;
- в netfiter для исходящих пакетов написать правило, которое будет указывать - через какой инт ерфейс должы уходить пакеты от разных пользователей.

Если вышесказанное непонятно, то misiion impossible.

[romkaromka]

я спросил:
iptables -m [фиг знает чего дальше писать] -o eth1
uid-пользователя где брать?
owner - чего такое текст команды или необходимо заменить на значение?
--uid-owner - чего такое текст команды или необходимо заменить на значение?
где брать значения, то есть в моей системе где посмотреть эти значения.
на эти вопросы ответа так и не последовало.
я теорию понимаю, но как команды писать не знаю.

[XPIOH]

Два провайдера и default gw в Linux ( policy routing )


Задача: корректная работа почты через один из интерфейсов, при этом в качестве default gw указан другой.

Реализация:

1) в /etc/iproute2/rt_tables добавляем:
201 T1
202 T2

2) создаём скрипт и даём права на запуск, предварительно исправив нужные параметры
IP - адреса сетевых интерфейсов
P - адреса шлюзов

#!/bin/sh
IP1=192.168.4.1
IP2=217.1.1.2
P1=192.168.4.2
P2=217.1.1.1
ip route add default via $P1 table T1
ip route add default via $P2 table T2
ip route add default via $P1
ip rule add from $IP1 table T1
ip rule add from $IP2 table T2

В результате получим, что если пакет пришёл на P2, то он не пойдёт через default gw P1,
а уйдёт через тот же интерфейс с IP1


29.09.2006, Автор: Dmitriy Altuhov

[XPIOH]

Настройка iptables

#iptables -I OUTPUT -t nat -m owner --uid-owner [тут написать идентификатор пользователя, который будет запускать торент дабы он шел по определенному интерфейсу] -o eth_интерфейс_через который_должен_ходить

После всего программы, которые будут запускаться от этого пользователя будут ходить через определенный интерфейс.

[romkaromka]

Настройка iptables

#iptables -I OUTPUT -t nat -m owner --uid-owner [тут написать идентификатор пользователя, который будет запускать торент дабы он шел по определенному интерфейсу] -o eth_интерфейс_через который_должен_ходить

После всего программы, которые будут запускаться от этого пользователя будут ходить через определенный интерфейс.

Теперь более-менее хорошо написал.
Вопросы:
1) идентификатор пользователя где и как узнать (у меня в системе всего один пользователь, например alex)?
2) какой синтаксис обратной команды для того, чтобы можно было вернуть настройку iptables для данного случая в исходное состояние?
3) "После всего программы, которые будут запускаться от этого пользователя будут ходить через определенный интерфейс" - браузер тоже будет запускаться от этого пользователя, сработает ли в этом случае предложенный вами алгоритм?
4) #iptables -I OUTPUT -t nat -m owner --uid-owner [тут написать идентификатор пользователя, который будет запускать торент дабы он шел по определенному интерфейсу] -o eth_интерфейс_через который_должен_ходить - действует ли это на текущий сеанс или при запуске системы помнится? как прописать, чтобы помнилось?

[romkaromka]

Два провайдера и default gw в Linux ( policy routing )


Задача: корректная работа почты через один из интерфейсов, при этом в качестве default gw указан другой.

Реализация:

1) в /etc/iproute2/rt_tables добавляем:
201 T1
202 T2

2) создаём скрипт и даём права на запуск, предварительно исправив нужные параметры
IP - адреса сетевых интерфейсов
P - адреса шлюзов

#!/bin/sh
IP1=192.168.4.1
IP2=217.1.1.2
P1=192.168.4.2
P2=217.1.1.1
ip route add default via $P1 table T1
ip route add default via $P2 table T2
ip route add default via $P1
ip rule add from $IP1 table T1
ip rule add from $IP2 table T2

В результате получим, что если пакет пришёл на P2, то он не пойдёт через default gw P1,
а уйдёт через тот же интерфейс с IP1


29.09.2006, Автор: Dmitriy Altuhov

"создаём скрипт и даём права на запуск" - вопрос как его обозвать и куда поместить, и как он будет вызываться?

[olelukoie]

"создаём скрипт и даём права на запуск" - вопрос как его обозвать и куда поместить, и как он будет вызываться?

Как обозвать - не важно, как Вам больше нравится. Куда поместить - зависит от ситуации. Команды iptables помнит только до перезагрузки (наверное можно как-то заставить их запомниться, но как - не знаю), поэтому либо Вы запускаете этот скрипт каждый раз вручную, либо можете поместить его в /etc/init.d/ и создать на него симлинк в директориях /etc/rc.d/rc3.d/ и rc5.d/. Формат имени симлинка будет SxxИмя_вашего_скрипта, где S - от слова start, xx - число, указывающее приоритет (порядок) запуска скриптов. Число в имени директорий rc3.d и rc5.d означает номер runlevel (соотв. консольный логин и автозапуск иксов).

3) "После всего программы, которые будут запускаться от этого пользователя будут ходить через определенный интерфейс" - браузер тоже будет запускаться от этого пользователя, сработает ли в этом случае предложенный вами алгоритм?

В самом первом своем посте XPIOH Вам написал:

Запускайте нужную программу от определенного пользователя, а в iptables сделайте для этого пользователя правило. И все. Не надо отслеживать даже порты.

Вывод из этого очевиден - да, все программы, запущенные от этого пользователя, будут ходить через этот интерфейс, а все, запущенные от других пользователей - через другой.

[romkaromka]

то есть мне надо создать пользователей к примеру alex и romka и написать в терминале под рутом:
iptables -I OUTPUT -t nat -m owner --uid-owner alex -o ppp0
iptables -I OUTPUT -t nat -m owner --uid-owner romka -o eth1
правильно написал?
автовход в систему сделать для alex, запустить торрент как обычно (он запустится под alex), затем зайти в терминал сменить пользователя на romka и из терминала под romka запустить браузер?

какой синтаксис обратной команды для того, чтобы можно было вернуть настройку iptables для данного случая в исходное состояние?
еще предложения по запоминанию iptables способом попроще есть?

[olelukoie]

то есть мне надо создать пользователей к примеру alex и romka и написать в терминале под рутом:
iptables -I OUTPUT -t nat -m owner --uid-owner alex -o ppp0
iptables -I OUTPUT -t nat -m owner --uid-owner romka -o eth1
правильно написал?

Я так понял, что опция --uid-owner требует указания UID (числового), а не имени пользователя. Узнать его можно командой id.

какой синтаксис обратной команды для того, чтобы можно было вернуть настройку iptables для данного случая в исходное состояние?

думаю, что iptables -F OUTPUT

еще предложения по запоминанию iptables способом попроще есть?

Использовать config-файл. Судя по всему, он доложен лежать в /etc/sysconfig и называться iptables. Пример этого файла есть в /usr/share/doc/iptables/. После того, как Вы введете все необходимые правила один раз вручную, этот файл можно сгенерить автоматически командой iptables-save.

[XPIOH]

Еще раз. Для начала policy routing. Пока это действие не будет сделано у вас не будет работать так, как вы хотите. Система не будет знать на какой маршрутизатор отправлять пакет, если этой сети нет в таблице маршрутизации. Если не настроен policy routing, то все пакеты будут ухоть по одному маршруту по default (0.0.0.0/0).

[romkaromka]

Еще раз. Для начала policy routing. Пока это действие не будет сделано у вас не будет работать так, как вы хотите. Система не будет знать на какой маршрутизатор отправлять пакет, если этой сети нет в таблице маршрутизации. Если не настроен policy routing, то все пакеты будут ухоть по одному маршруту по default (0.0.0.0/0).

Какое действие еще надо сделать? К чему этот абзац относится? Если к автозапуску, то мне пока с этим не разобраться, сложно. Решил комп загрузить и исполнить в ручную скрипт для простоты. Сейчас главное трафик перераспределить, а потом усложнюсь.

[olelukoie]

Еще раз. Для начала policy routing. Пока это действие не будет сделано у вас не будет работать так, как вы хотите. Система не будет знать на какой маршрутизатор отправлять пакет, если этой сети нет в таблице маршрутизации. Если не настроен policy routing, то все пакеты будут ухоть по одному маршруту по default (0.0.0.0/0).

Какое действие еще надо сделать? К чему этот абзац относится?

Нет, этот абзац относится к настройке маршрутизации, без policy routing команды iptables не сработают.

[XPIOH]

Спокойствие, только спокойствие....

У вас есть квартира (это компьютер), в ней есть входы - парадный и черный. Люди входят и выходят по обычным правилам.
Обычные правила:
default gw - парадный выход через гостинную (eth0), поскольку везде висят таблички если вам наружу, то выход туда. Поэтому люди которые даже выйдя в кладовку увидят, что на черном входе/выходе (eth1) висит табличка - выход через парадный вход.

Policy routing или свой шлюз для каждого интерфейса. Т.е. везде висят таблички - выход там же где и вход, и соответствеено вход там же где и выход.

Ваша задача. Надо еще повесит везде таблички, что если вы вася, то вы ходите через черный ход....

Если на черном ходе не будет висеть таблички, что если вы хотите уйти из дворницкой (eth1), то через двурь черного хода (default шлюз провайдера).

Иначе вася будет тупо ходить через парадный ход.