Как указать маршрутизацию для интерфейса в линукс?

Question

[Иван Козлов]

Подскажите, есть обычный линукс Debian 11, с сетевым интерфейсом eth0, через который и осуществляется выход в сеть интернет. Соответственно
# ip route show
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
default via 192.168.1.254 dev eth0

Добавлена сетевая карта eth1, которая так же подключена к интернету.
192.168.2.0/24 dev eth1 proto kernel scope link src 192.168.2.2

Добавлена третья сетевая карта eth2
192.168.3.0/24 dev eth2 proto kernel scope link src 192.168.3.2
к которой подключены клиенты локальной сети, как и что прописать в маршрутизации, чтобы клиенты выходящие в интернет, через данный сервер, выходили в интернет через eth1, а не через default dev eth0? default dev eth0 так и должен остаться шлюзом по умолчанию, для всех иных подключений.

Comments

[Дмитрий]

Гуглить advanced routing and iproute2

Answer 1

[ky0]

Это называется policy-based routing.

Answer 2

[Alexey Dmitriev]

Маркировать трафик по нужным условиям через iptables -j MARK и передавать его iproute2, который умеет роутить маркированный траффик.
Вы бы погуглили чтоли-прежде чем вопрос задавать.

Comments

[ValdikSS]

Вы бы погуглили чтоли-прежде чем вопрос задавать.

А вам совет — не давать вредные советы. Всё настраивается средствами маршрутизации, iptables и маркировка пакетов/сессий ни к чему.

[Alexey Dmitriev]

ValdikSS, пока вы не рассказали, как стандартно маршрутизировать не на default gateway пакеты, исходя из source ip. И чем подход с маркировкой трафика вас не устраивает, ибо по факту это теже таблицы как и в ответе от ky0, только в другом месте хранящиеся. Слушаю, точнее читаю вас внимательно.

[ValdikSS]

Alexey Dmitriev, прочтите документацию к iproute2, там рассказывается не только о маршрутизации по исходящему IP-адресу, но даже и по протоколу и TCP/UDP-порту.

[Alexey Dmitriev]

ValdikSS, бесполезный разговор. Я дал рабочий вариант, а вы с "умным" видом пытаетесь умничать, не приводя аргументов.

[ValdikSS]

Alexey Dmitriev, ky0 дал ссылку на корректный способ за час до вашего ответа. Вы, по непонятной причине, предлагаете использовать подсистему firewall'а для управления трафиком, хотя задачу автора можно полностью решить средствами маршрутизации. Использование подсистемы firewall'а лишь замедлит обработку, не принеся никаких преимуществ в описанном случае.

Перечитайте ваш ответ:

Вы бы погуглили чтоли-прежде чем вопрос задавать.

К чему этот подкол?

[Alexey Dmitriev]

ValdikSS, опять пустой и голословный ответ, у вас есть доказательства, что маркировка трафика через iptables в ядре работает медленнее, чем маршрутизация в том же ядре?

[ValdikSS]

Alexey Dmitriev, я не намерен вести дискуссию, так как она не имеет отношения к начальному вопросу.
Если хотите узнать больше, см., например, заметку в блоге Cloudflare:
https://blog.cloudflare.com/how-to-drop-10-million...
Обработка пакетов в iptables filter осуществляется в три раза дольше iptables raw, не говоря уже о включённом conntrack.