Нужна помощь по IPTABLES (перенаправление трафика на д

[Fast_Deer]

Здравствуйте!
Собственно сабж. Подробности:
есть роутер с дыумя интерфейсами: WAN1 и WAN2. На WAN2 (W2) поднята локалка от второго прова (статик IP, vlan1), прописан маршрут. Проверил - пакеты ходят во вторую сеть (tracert сеть 2го прова), но интернет по дефолту настроен на основного прова (WAN1, PPPoE) и соответственно, все ходят через него, а там канал не очень широкий (в домашке 3 компа и сервак). Мне нужно завернуть трафик с определенных машин моей локалки (по IP адресу) через W2, а также (если это возможно) по определенным портам оставить на основном WAN (W1) - это нужно для доступа некоторые ресурсы провайдеров.
Это вообще реально сделать? В интернете нарыл интересные моменты через маркировку пакетов, но не знаю как это реализовать.
Буду очень благодарен за помощь.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

покажьте ваш набор правил
и конкретику по адресам, сетям, портам

[Fast_Deer]

С набором правил туго, так как я основного провайдера (WAN1, ADSL/PPPoE) настраивал через веб интерфейс и роутер все сделал сам. Данный провайдер-дефолтный и он мне нужен для сервака внутри сети.
Все что я делал "руками" с прочтением многих форумов по аналогии, так это поднял второй WAN2 интерфейс (vlan1), добавил туда маршрут и проверил прохождение пакетов. А дальше затык", так как не очень разбираюсь в сабже. А вот и конкретика:

# Назначаем IP адрес второму WAN2 (vlan1)
ifconfig vlan1 10.0.136.194 netmask 255.255.255.248 up

#Добавляем таблицу маршрутов
route add -net 10.0.136.192 netmask 255.255.255.248 gw 10.0.136.193 # не уверен что правильно

# настройка NAT
iptables -A INPUT -i vlan1 -m state --state NEW -j SECURITY
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i vlan1 -m state --state NEW -j SECURITY
# Включаем NAT
iptables -t nat -A POSTROUTING -o vlan1 ! -s 10.0.136.194 -j MASQUERADE

и на этом мои мысли закончились. Нужно машину с IP 192.168.1.13 завернуть на vlan1 вместо дефолтного шлюза на основе этого постараюсь сделать тоже самое для второй машины. С портами уже позже буду разбираться.

ЗЫ: в теории можно конечно поменять дефолтный шлюз на роутере, но тогда другую машину (сервер) придется переводить на шлюз от первого прова, что тоже самое

[dekloper]

есть такая веселая команда

Код: Выделить всё

man ip

почитайте на предмет rt_tables
создайте для каждого прова свою табличку
ну и посылайте юзеров в нужную таблицу, смотря откуда приперся..

[Fast_Deer]

2 модератор: тему можно закрыть/удалить.
2 dekloper:
- в моем роутере нет команды man ip. Там вообще нет команды man ибо стоит Linux MIPS и вырезают все чтоб уместилось в отведенную память, но не в этом суть...
- в интернете нашел man ip, но либо там нет упоминания про rt_tables, либо моего скудного английского не хватает для понимания реализации моего вопроса в данном топике, но не в этом суть....
- на другой старейшем форуме нашелся умный человек и показал навскидку как это можно реализовать (9 строк кода), предупредив что "Всё как то так. Но камни будут обязательно.". Я подогнал это под свои нужды и оно завелось "с пол-оборота", за что у меня появилось желание сделать этому человеку маленький, но приятный бонус в виде материального поощрения....