0 chain=input action=mark-connection new-connection-mark=ISP 1 -> Input passthrough=no dst-address=xx.xx.xx.246 in-interface=ether1
log=no log-prefix=""
1 chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no connection-mark=ISP 1 -> Input log=no log-prefix=""
2 chain=input action=mark-connection new-connection-mark=ISP 2 -> Input passthrough=no dst-address=xx.xx.xx.21 in-interface=ether2
log=no log-prefix=""
3 chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no connection-mark=ISP 2 -> Input log=no log-prefix=""
4 chain=forward action=mark-connection new-connection-mark=in_isp1_for passthrough=no in-interface=ether1 log=no log-prefix=""
5 chain=forward action=mark-connection new-connection-mark=in_isp2_for passthrough=yes in-interface=ether2 log=no log-prefix=""
6 chain=prerouting action=mark-routing new-routing-mark=ISP 1 passthrough=no src-address=192.168.1/24 connection-mark=in_isp1_for log=no log-prefix=""
7 chain=prerouting action=mark-routing new-routing-mark=ISP 2 passthrough=no src-address=192.168.1/24 connection-mark=in_isp2_for log=no log-prefix=""
И про какую схему мы говорим? Адекватную схему видел в вики учебнике по iptables. А у микротика не вижу решений по маршруту.
Кажется понял, мы маркируем forward и input для "отграничения" трафика для микротика и проходящего мимо.
Теперь этот трафик нужно направить (по какому-то маршруту), для этого в prerouting'е / output'е мы используем маркированное соединения и создаём маркировку для маршрута. Ну и используем её при маршрутизации.
Хм... То есть:
Идёт пакет в локальную сеть, попадает под правило forward, маркируется и доходит до объекта, а когда объект ответил, то возвращается по цепочке prerouting?
Так получается?