複数のインターネットプロバイダーのためのルーターとしてのLinux

複数のインターネットプロバイダーのためのルーターとしてのLinux

ルーターとしてのLinux:私はそれぞれ独自のモデムを備えた3つのインターネットプロバイダを持っています。

プロバイダー1つまり、ゲートウェイアドレス 192.168.1.1 が
Linux ルータに接続されます。eth1/192.168.1.2

プロバイダ2、ゲートウェイアドレス192.168.2.1は
Linuxルーターに接続されています。イーサリアム2/192.168.2.2

プロバイダ 3、ゲートウェイアドレス192.168.3.1は
Linuxルーターに接続されています。イーサリアム3/192.168.3.2

                                                                           ________
                                                   +------------+         /
                                                   |            |        |
                            +----------------------+ Provider 1 +--------|
        __                  |192.168.1.2           |192.168.1.1 |       /
    ___/  \_         +------+-------+              +------------+      |
  _/        \__      |    eth1      |              +------------+      /
 /             \ eth0|              |192.168.2.2   |            |      |
|Client network -----+  ROUTER  eth2|--------------+ Provider 2 +------|     Internet
 \10.0.0.0/24 __/    |              |              |192.168.2.1 |      |
   \__     __/       |    eth3      |              +------------+      \
      \___/          +------+-------+              +------------+       |
                            |192.168.3.2           |            |       \
                            +----------------------+ Provider 3 +-------|
                                                   |192.168.3.1 |       |
                                                   +------------+       \________

ソースIPに基づいて、ネットワーク10.0.0.0/24のクライアントを別のゲートウェイにルーティングしたいと思います。
クライアントネットワークインターフェースはイーサネット0/ 10.0.0.1はすべてのクライアントのデフォルトゲートウェイです。

例:
10.0.0.11 は Provider1@eth1 にルーティングする必要があります。
10.0.0.12はProvider2 @ eth2にルーティングする必要があります
...など...

ip routeSNATにとを使用する必要があるようですが、iptables正確にどのように使用するのかを特定できませんでした。
これはこれまで私のスクリプトです。
ipv4転送が有効になっています。

#!/bin/bash
# flush tables
ip route flush table connection1
ip route flush table connection2
ip route flush table connection3

# add the default gateways for each table
ip route add table connection1 default via 192.168.1.1
ip route add table connection2 default via 192.168.2.1
ip route add table connection3 default via 192.168.3.1

# add some IP addresses for marking
iptables -t mangle -A PREROUTING -s 10.0.0.11 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 10.0.0.12 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 10.0.0.13 -j MARK --set-mark 3

# add the source nat rules for each outgoing interface
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.2
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 192.168.2.2
iptables -t nat -A POSTROUTING -o eth3 -j SNAT --to-source 192.168.3.2

# link routing tables to connections (?)
ip rule add fwmark 1 table connection1
ip rule add fwmark 2 table connection2
ip rule add fwmark 3 table connection3

#default route for anything not configured above should be eth2

答え1

以下は、ルータの1つに対する同様の設定です(関連していない一部の項目は削除されます)。このように処理されます。着信接続にも同じです。

ハードコードされたタグ番号の代わりに変数を使用してください。メンテナンスが簡単になりました!これは別のスクリプトに保存されます。テーブル名はで構成されています/etc/iproute2/rt_tables。インターフェース名は で設定されます/etc/udev/rules.d/70-persistent-net.rules

##### fwmark ######
iptables -t mangle -F
iptables -t mangle -X

iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j RETURN # if already set, we're done
iptables -t mangle -A PREROUTING -i wan      -j MARK --set-mark $MARK_CAVTEL
iptables -t mangle -A PREROUTING -i comcast  -j MARK --set-mark $MARK_COMCAST
iptables -t mangle -A PREROUTING -i vz-dsl   -j MARK --set-mark $MARK_VZDSL

iptables -t mangle -A POSTROUTING -o wan     -j MARK --set-mark $MARK_CAVTEL
iptables -t mangle -A POSTROUTING -o comcast -j MARK --set-mark $MARK_COMCAST
iptables -t mangle -A POSTROUTING -o vz-dsl  -j MARK --set-mark $MARK_VZDSL
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark

##### NAT ######
iptables -t nat -F
iptables -t nat -X
for local in «list of internal IP/netmask combos»; do
    iptables -t nat -A POSTROUTING -s $local -o wan     -j SNAT --to-source «IP»
    iptables -t nat -A POSTROUTING -s $local -o comcast -j SNAT --to-source «IP»
    iptables -t nat -A POSTROUTING -s $local -o vz-dsl  -j SNAT --to-source «IP»
done

# this is an example of what the incoming traffic rules look like
for extip in «list of external IPs»; do
    iptables -t nat -A PREROUTING   -p tcp -d $extip --dport «port» -j DNAT --to-destination «internal-IP»:443
done

ルールは次のとおりです。

ip rule flush
ip rule add from all               pref 1000  lookup main 
ip rule add from A.B.C.D/29        pref 1500  lookup comcast # these IPs are the external ranges (we have multiple IPs on each connection)
ip rule add from E.F.G.H/29        pref 1501  lookup cavtel
ip rule add from I.J.K.L/31        pref 1502  lookup vzdsl
ip rule add from M.N.O.P/31        pref 1502  lookup vzdsl # yes, you can have multiple ranges
ip rule add fwmark $MARK_COMCAST   pref 2000  lookup comcast
ip rule add fwmark $MARK_CAVTEL    pref 2001  lookup cavtel
ip rule add fwmark $MARK_VZDSL     pref 2002  lookup vzdsl
ip rule add                        pref 2500  lookup comcast # the pref order here determines the default—we default to Comcast.
ip rule add                        pref 2501  lookup cavtel
ip rule add                        pref 2502  lookup vzdsl
ip rule add                        pref 32767 lookup default

ルーティングテーブルが設定されているため、/etc/network/interfacesインターフェイスを終了すると、別のインターフェイスを使用するように切り替えられます。

iface comcast inet static
        address A.B.C.Q
        netmask 255.255.255.248
        up ip route add table comcast default via A.B.C.R dev comcast
        down ip route flush table comcast

メモ:FORWARDフィルタリングも実行する場合(おそらくそうです)、トラフィックにACCEPT適切なルールを追加する必要があります。特に着信トラフィックの場合。

関連情報