Multiple WAN routing policy

[Kozlov_Sergey]

Предлагаю добавить возможность в маршрутизаторах Keenetic использовать маршрут по умолчанию на несколько интерфейсов (для 2 подключений интернета одновременно).

[Le ecureuil]

4 часа назад, Zero-C001 сказал:

Добрый день,

 

Вот задумался о подключении 2-х провайдеров в паре (100+200=300).

Почитал данную тему, и не совсем понял текущую ситуацию по настройке балансировки двух активных WAN... Поясните пожалуйста:
1) Настроить можно, через OPKG?

2) Через UI такой функционал не планируется?

3) Может кто показать пошагово какие команды/скрипты писать?

1. У народа вроде получилось.

2. Пока не планируется.

[Zero-C001]

Спасибо, за ответы. Народ, поделитесь, пожалуйста, вариантом реализации

[vasek00]

1 час назад, Zero-C001 сказал:

Спасибо, за ответы. Народ, поделитесь, пожалуйста, вариантом реализации

2.08
 

 route del default
 ip ro flush cache
 ip ro add default scope global nexthop via $inet_addr1 dev ppp0 weight 10 nexthop via $inet_addr2 dev ppp1 weight 5

где естественно - inet_addr1 и ppp0 интерфейс и IP для первого провайдера, inet_addr2 и ppp0 интерфейс и IP для второго провайдера

 inet_addr1=`ip addr show ppp0 | grep inet | awk '{print $2}'`
 inet_addr2=`ip addr show ppp1 | grep inet | awk '{print $2}'`

weight 10 или weight 5 весовые коэффициенты для провайдеров оцениваются в данном примере как 10/5

Для надежной и постоянной работы, так как любое пропадание канала провайдера сменит default маршрут, необходим скрипт в cron c интервалом хотя бы 5мин. который проверяет таблицу марщрутов на наличие nexthop

if [ "$(ip route | awk '/nexthop via / {print $1}')" == "" ]; then

если его нет, то естественно проверить два интерфейса ppp0 и ppp1 (за их подъем отвечает роутер), дождаться когда они оба подняты и опять выполнить 3 команды самые первые. Наличие записи nexthop в таблице выглядит ниже

/ # ip ro
default 
        nexthop via inet_addr1 dev ppp1 weight 5
        nexthop via inet_addr2 dev ppp0 weight 10
...

или когда два канала подняты

default dev ppp0  scope link
...
хх.хх.192.1 dev ppp0  proto kernel  scope link  src хх.хх.226.64
...
yy.yy.148.26 dev ppp1  proto kernel  scope link  src yy.yy.yy.52

В зависимости от вида подключения не чего не меняется, так как нужны два IP и их интерфейсы для задания в команде  ...add default scope global nexthop...

Данный метод делает балансировку работы каналов 10/5, хорош для просмотра страниц, для торрентов но плох для сервисов типа dipozit или ему подобных сервисом у которых соединение продолжительны во времени. Задав нужные сервера (сервисы) через определенный канал можно избежать такие проблемы, так например адреса DNS будут жестко привязаны к нужному каналу (так настраивает прошивка роутера).

Написание скрипта думаю не составит труда, данных предостаточно, но стандартными средствами прошивки не получиться нужно - Entware и пакет "ip route", хотя его размер с библиотекой и нет так велик можно было бы его уложить в размер прошивки.

[Zero-C001]

Спасибо за разъяснения, как дело дойдет до 2х провайдеров - буду настраивать.

[dexter]

В 26.09.2016 в 19:44, vasek00 сказал:

В зависимости от вида подключения не чего не меняется, так как нужны два IP и их интерфейсы для задания в команде  ...add default scope global nexthop...

Ваш пример не работает если подключение ipoe, нужно как-то узнавать какие gateway выдаются на интерфейс/

[r13]

15 минут назад, dexter сказал:

Ваш пример не работает если подключение ipoe, нужно как-то узнавать какие gateway выдаются на интерфейс/

я узнаю из роутов на днс провайдера которые прилетают по dhcp по каждому провайдеру.

днс у провайдера конечно могут поменяться но вероятность достаточно низкая.

[dexter]

А примерчик можно?

[r13]

34 минуты назад, dexter сказал:

А примерчик можно?

Дык на предыдущей страницы одна из ранних версий моего скрипта есть. Там я с пары роутов дергаю gateway 

[dexter]

Посмотрел. Только как-то оно настолько мудрено получается. Столько телодвижений нужно сделать. что бы добыть 2 IP адреса.

В той же винде ipconfig адрес шлюза показывает. Но тут нужно фундаментально в линукс вносить изменения.

[r13]

Это то ладно, у меня после активации мульти wan начинает облачная служба отваливаться и клиенты pptp сервера начинают постоянно перепотключаться. Да и резервный dhcp интерфейс ресетится постоянно вместо продления аренды( но последнее уже с мультиваном не связано, просто мешается)

[dexter]

Видимо нужно ждать когда у разработчиков дойдут руки до этой фичи. А дойдут ли...............

[vasek00]

11 час назад, dexter сказал:

Ваш пример не работает если подключение ipoe, нужно как-то узнавать какие gateway выдаются на интерфейс/

Не говорите ерунду. Все работает без разнице где, как и было написано ранее и нужно знать интерфейс и таблицу маршрутов, а узнать его можно на любом, если речь идет про IPOE то это на K-II например eth2.2 он же WAN порт, а уж если очень нужен gateway то он берется из таблицы маршрутов для данного интерфейса.

Пример IPOE создаю eth2.3 (родной WAN - eth2.2)

/ # ip ro
default via 1хх.1хх.63.1 dev eth2.3 
1хх.1хх.32.0/19 dev eth2.3 proto kernel  scope link src 1хх.1хх.42.52 
192.168.1.0/24 dev br0 proto kernel  scope link  src 192.168.1.1 
/ # 

И в чем проблема, по умолчание прошивка поднимет на данном интерфейсе маршрут default из которого можно получить все нужные значения : IP - 1xx.1xx.42.52 на интерфейсе eth2.3; IP - 1xx.1xx.63.1 gateway для данного интерфейса. Как его вытащить командой примеры приводились.

[vasek00]

10 часов назад, r13 сказал:

Это то ладно, у меня после активации мульти wan начинает облачная служба отваливаться и клиенты pptp сервера начинают постоянно перепотключаться. Да и резервный dhcp интерфейс ресетится постоянно вместо продления аренды( но последнее уже с мультиваном не связано, просто мешается)

Про это писалось так же неоднократно пробуйте - НУЖНЫЕ СЕРВИСЫ НА ОПРЕДЕЛЕННЫЙ МАРШРУТ, ТОЛЬКО ЧЕРЕЗ СТАТ МАРШРУТ.

[vasek00]

ip route add default scope global nexthop via $IP1 dev $IF1 weight 8 nexthop via $IP2 dev $IF2 weight 6

Смысл балансировки - так как обращение к одному и тому же серверу будет производиться всегда через один и тот же IP интерфейс (кэширование маршрута) до момента сброса соединения, а потом по другому маршруту.
Где
• scope область-действия (по умолчанию, link для прямых unicast и broadcast маршрутов, global для прочих unicast маршрутов, host для локальных маршрутов)
• nexthop via $IP dev {имя-интерфейса} weight {вес} (описание многонитевого маршрута; вес отражает толщину или качество канала)

или

ip route add default scope global equalize nexthop ....

• equalize (распределять пакеты случайным образом по ниткам много нитевого маршрута)

При таком раскладе ряд сайтов сбрасывает авторизацию. Пример может быть например с  VK сначала связь через prov-1, а на четвертом клике пошла на prov-2 и как результат слет авторизации. Можно попробовать решить через

ip route add ip_addr_serv via шлюз_prov

Для более серьезных случаев лучше посмотреть в сторону распределения трафика с использованием маркировки пакетов (fwmark) и правила iptables.

Edited September 29, 2016 by vasek00

[m__a__l]

18 часов назад, dexter сказал:

Видимо нужно ждать когда у разработчиков дойдут руки до этой фичи. А дойдут ли...............

Хотелось бы верить, что дойдут, а то при наличии 2 провайдеров по 100 мегабит, 1 простаивает 

[vasek00]

16 часов назад, m__a__l сказал:

Хотелось бы верить, что дойдут, а то при наличии 2 провайдеров по 100 мегабит, 1 простаивает 

Мало вероятно, потом смысл при таких каналах в 100Мбит.

[m__a__l]

11 час назад, vasek00 сказал:

Мало вероятно, потом смысл при таких каналах в 100Мбит.

Второй канал появился на "халяву" - у пчилайна есть семейные тарифы, все равно юзал мобильную связь, вот и подключил. 

Смысл есть, хотя бы на торрентах затраты времени на загрузку информации снизятся в 2 раза, а время, это та еденица, которой не хватает.  Было бы время,  я бы изучил документацию по написанию скриптов и с благодарностью использовал бы ваши наработки, но к сожалению работа отнимает все возможное время(проклятый кризис) да и пополнение в семье не оставляет возможности даже поспать ночью  , осталась надежда, что у разработчиков времени немного больше  

[vasek00]

16 часов назад, m__a__l сказал:

Смысл есть, хотя бы на торрентах затраты времени на загрузку информации снизятся в 2 раза, а время, это та еденица, которой не хватает.

Для торрентов сильно и как сделать описано на форуме,так же можно разобраться и для IPOE подключения без проблем.

[m__a__l]

В 1 октября 2016 г. в 14:02, vasek00 сказал:

Для торрентов сильно и как сделать описано на форуме,так же можно разобраться и для IPOE подключения без проблем.

Если не сложно, тыкните в статью, или хотя бы раздел, в котором была статья по торрентам на 2 провайдера, если честно не нашел.  Если это снова пища для размышления, возьмите данные там и запилите в скрипт, то в настоящий момент все равно не поможет, я с линуксом пока еще больше на ВЫ, пару серваков конечно пришлось на работе поднять, но там полу готовые решения, до работы со скриптами физически нет времени добраться. 

[vasek00]

10 часов назад, m__a__l сказал:

...Если это снова пища для размышления, возьмите данные там и запилите в скрипт, то в настоящий момент все равно не поможет, я с линуксом пока еще больше на ВЫ, пару серваков конечно пришлось на работе поднять, но там полу готовые решения, до работы со скриптами физически нет времени добраться. 

Без данной пищи для размышления ну ни как нельзя, если вы считаете что у вас нет времени то у других оно думаете есть, нужно знать ваше подключение, что установлено из Entware. В принципе готовое решение тут есть - думаю пользоваться командами "ifconfig, ip или route" вы умеете, проанализировать их вывод так же сумеете, а если нет то стандартный набор функционала в прошивке.

Для начала прежде чем что-то писать (речь о скриптах) наверное надо было попробовать как это работает используя всего три строки, которые тут в данной ветки чуть ли не в каждом посте.

[Дмитрий]

Помогите, знающие люди.

Хочу сделать доступ из вне через второе подключение, а гонять все через первое.

Пару раз даже начинало работать, но обычно подключиться с инета не получается, чтото пропустил.

Растет ip rule list с каждым запуском скрипта дублирующимися правилами 

 

v2.08(AAKU.1)A8  и entware 3х

Гоняю периодически скрипт

Скрытый текст

#!/opt/bin/sh
IP1=`ifconfig ppp0 | grep -i "inet addr:" | cut -f2 -d: | cut -f1 -d " "`
IP2=`ifconfig ppp2 | grep -i "inet addr:" | cut -f2 -d: | cut -f1 -d " "`
Gat1=`ifconfig ppp0 | awk '/P-t-P/ {print $3}' | cut -f2 -d: | cut -f1 -d " "`
Gat2=`ifconfig ppp2 | awk '/P-t-P/ {print $3}' | cut -f2 -d: | cut -f1 -d " "`

ip route flush table 101
ip route flush table 102
ip rule delete table 101
ip rule delete table 102
ip route add default via $Gat1 dev ppp0 table 101
ip route add default via $Gat2 dev ppp2 table 102
ip rule add from $IP1 table 101
ip rule add from $IP2 table 102
ip rule add fwmark 1 table 101
ip rule add fwmark 2 table 102
echo "ip route del default"
ip route del default
echo "ip ro flush cache"
ip ro flush cache
echo "router nexthop"
ip route add default scope global nexthop via $IP1 dev ppp0 weight 99 nexthop via $IP2 dev ppp2 weight 1

Проброшены порты в правилах нат в веб интерфейсе маршрутизатора к устройствам.

Получаю:

Скрытый текст

~ # ip rule list                                                                                                                             
0:      from all lookup local                                                                                                                
32754:  from all fwmark 0x2 lookup 102                                                                                                      
32755:  from all fwmark 0x1 lookup 101                                                                                                       
32756:  from 89.х.х.15 lookup 102                                                                                                        
32757:  from 10.149.4.190 lookup 101                                                                                                         
32758:  from 89.х.х.15 lookup 102                                                                                                        
32759:  from 10.149.4.190 lookup 101                                                                                                         
32760:  from 89.х.х.15 lookup 102                                                                                                        
32761:  from 10.149.4.190 lookup 101                                                                                                         
32762:  from 89.х.х.15 lookup 102                                                                                                        
32763:  from 10.149.4.190 lookup 101                                                                                                         
32764:  from 89.х.х.15 lookup 102                                                                                                        
32765:  from 10.149.4.190 lookup 101                                                                                                         
32766:  from all lookup main                                                                                                                 
32767:  from all lookup default 

Скрытый текст

~ # ip ro                                                                                                                                    
default                                                                                                                                      
        nexthop via 10.149.4.190  dev ppp0 weight 99                                                                                         
        nexthop via 89.х.х.15  dev ppp2 weight 1                                                                                         
10.1.30.0/24 dev ra1  proto kernel  scope link  src 10.1.30.1                                                                                
10.64.64.64 dev ppp0  proto kernel  scope link  src 10.149.4.190                                                                             
89.х.х.3 dev ppp0  scope link                                                                                                            
89.х.х.10 dev ppp2  proto kernel  scope link  src 89.х.х.15                                                                          
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1                                                                            

Edited October 13, 2016 by Дмитрий

[vasek00]

9 часов назад, Дмитрий сказал:

Помогите, знающие люди.

Хочу сделать доступ из вне через второе подключение, а гонять все через первое.

Пару раз даже начинало работать, но обычно подключиться с инета не получается, чтото пропустил.

Растет ip rule list с каждым запуском скрипта дублирующимися правилами 

Странно, выбор исходящего маршрута производится только для соединений, инициируемых самим хостом, а если соединение пришло из вне то  по нему должно и вернуться.

На вскидку можно попробовать так промаркируйте пакеты, раз даете на что-то доступ то используется порт

От локальных процессов mangle - OUTPUT но не есть гуд, но для проверки можно попробовать
iptables -t mangle -A OUTPUT -p tcp -m tcp --dport $P_port -j MARK --set-mark 0x4
ip route add default via $IP dev $IF table 10x
ip rule add fwmark 0x4/0x4 lookup 10x

Не проверял может где-то и ошибся.

Или использовать цепочки connmark http://help.ubuntu.ru/wiki/ip_balancing

 

[Дмитрий]

1 час назад, vasek00 сказал:

Странно, выбор исходящего маршрута производится только для соединений, инициируемых самим хостом, а если соединение пришло из вне то  по нему должно и вернуться.

Если взять роутер и ничего с ним не делать, то извне придёт пакет клиенту в сети роутера, а ответ уйдет в др интерфейс в соответствии с маршрутом по-умолчанию

1 час назад, vasek00 сказал:

От локальных процессов mangle - OUTPUT но не есть гуд, но для проверки можно попробовать iptables -t mangle -A OUTPUT -p tcp -m tcp --dport $P_port -j MARK --set-mark 0x4 ip route add default via $IP dev $IF table 10x ip rule add fwmark 0x4/0x4 lookup 10x

может мне маркировать все входящие пакеты на второй интерфейс или его IP, но не совсем понимаю, будет ли ответный пакет уже иметь эту же маркировку, чтоб ее увидеть и отправить обратно в нужный интерфейс по таблице, например 102?

Edited October 14, 2016 by Дмитрий

[vasek00]

49 минут назад, Дмитрий сказал:

Если взять роутер и ничего с ним не делать, то извне придёт пакет клиенту в сети роутера, а ответ уйдет в др интерфейс в соответствии с маршрутом по-умолчанию

....

может мне маркировать все входящие пакеты на второй интерфейс или его IP, но не совсем понимаю, будет ли ответный пакет уже иметь эту же маркировку, чтоб ее увидеть и отправить обратно в нужный интерфейс по таблице, например 102?

Покажите текущие маршруты и

ip route show table main

посмотрите ниже пример где 101 в данном случае пример, а нужно подставить нужная вам таблицу

iptables -t mangle -I INPUT -i $IF_интерфейс -m state --state NEW,RELATED -j CONNMARK --set-mark 2
iptables -t mangle -I OUTPUT -m connmark --mark 2 -j CONNMARK --restore-mark
echo "101 mynet1" >> /etc/iproute2/rt_tables
ip route add default dev $IF_интерфейс table mynet1
ip rule add fwmark 2 table mynet1
ip route flush cache

лишь бы номер для mark не был использован в системе

 

 

[Дмитрий]

Скрытый текст

#!/opt/bin/sh
IP1=`ifconfig ppp0 | grep -i "inet addr:" | cut -f2 -d: | cut -f1 -d " "`
IP2=`ifconfig ppp2 | grep -i "inet addr:" | cut -f2 -d: | cut -f1 -d " "`
Gat1=`ifconfig ppp0 | awk '/P-t-P/ {print $3}' | cut -f2 -d: | cut -f1 -d " "`
Gat2=`ifconfig ppp2 | awk '/P-t-P/ {print $3}' | cut -f2 -d: | cut -f1 -d " "`

ip route flush table 101
ip route flush table 102
ip rule delete table 101
ip rule delete table 101   #два раза, чтоб удалить обе записи, иначе в ip rule копится мусор (для многократных запусков при изменении ip)
ip rule delete table 102
ip rule delete table 102
ip route add default via $Gat1 dev ppp0 table 101
ip route add default via $Gat2 dev ppp2 table 102
ip rule add from $IP1 table 101
ip rule add from $IP2 table 102
ip rule add fwmark 0x1 table 101
ip rule add fwmark 0x2 table 102
iptables -t mangle -A INPUT -i ppp0 -j CONNMARK --set-mark 0x1
iptables -t mangle -A INPUT -i ppp2 -j CONNMARK --set-mark 0x2
iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark

Вот так получилось попасть на интерфейс маршрутизатора, но к устройствам локальной сети нет, хотя соответсвие порта 81 и интерфейса маршрутизатора, 80 порта и интерфейса в локальной сети назначено аналогично через штатный проброс порта (NAT). Кстати обошлось без nexthop'ов что порадовало.

Уже совсем близко, осталось научиться натить проходящие мимо соединения. Покурил https://www.opennet.ru/docs/RUS/iptables/, но походу стало хуже.

В 14.10.2016 в 11:18, vasek00 сказал:

Покажите текущие маршруты и

ip route show table main

Скрытый текст

~ # ip ro

default dev ppp0 scope link

10.1.30.0/24 dev ra1 proto kernel scope link src 10.1.30.1

10.64.64.64 dev ppp0 proto kernel scope link src 10.149.8.63

64.62.200.2 dev ppp2 scope link

66.220.2.74 dev ppp2 scope link

xx.yy.212.3 dev ppp0 scope link

xx.yy.212.10 dev ppp2 proto kernel scope link src xx.yy.212.75

192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1

216.66.84.46 dev ppp2 scope link

~ # ip route show table main

default dev ppp0 scope link

10.1.30.0/24 dev ra1 proto kernel scope link src 10.1.30.1

10.64.64.64 dev ppp0 proto kernel scope link src 10.149.8.63

64.62.200.2 dev ppp2 scope link

66.220.2.74 dev ppp2 scope link

xx.yy.212.3 dev ppp0 scope link

xx.yy.212.10 dev ppp2 proto kernel scope link src xx.yy.212.75

192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1

216.66.84.46 dev ppp2 scope link

 

[vasek00]

12 часа назад, Дмитрий сказал:

Кстати обошлось без nexthop'ов что порадовало.

Уже совсем близко, осталось научиться натить проходящие мимо соединения.

Использование ..... nexthop - для балансировки нагрузки по каналам либо "весом" или с "random". Тут же привязка к новым соединениям и маршрутам с последующем их использованием, т.е. в отличие от первого где один и тот же сервер может быть доступен по разным каналам с течением интервала времени.

По поводу "натить проходящие мимо соединения" тут нужно очень аккуратно, так как разработчик использовал свои отдельные цепочки для сервисов.

Edited October 18, 2016 by vasek00

[Le ecureuil]

В 10/14/2016 в 11:18, vasek00 сказал:

Покажите текущие маршруты и

ip route show table main

посмотрите ниже пример где 101 в данном случае пример, а нужно подставить нужная вам таблицу

iptables -t mangle -I INPUT -i $IF_интерфейс -m state --state NEW,RELATED -j CONNMARK --set-mark 2
iptables -t mangle -I OUTPUT -m connmark --mark 2 -j CONNMARK --restore-mark
echo "101 mynet1" >> /etc/iproute2/rt_tables
ip route add default dev $IF_интерфейс table mynet1
ip rule add fwmark 2 table mynet1
ip route flush cache

лишь бы номер для mark не был использован в системе

 

 

mark используется в системе для IPsec и для ppe software, потому аккуратнее.

[vasek00]

2 часа назад, Le ecureuil сказал:

mark используется в системе для IPsec и для ppe software, потому аккуратнее.

про то и речь.

[vasek00]

Один из вариантов подсчет трафика от локального клиента если тип данного трафика (53, 80, 443 и т.д не трогая /proc/net/ip_conntrack) не важен.

1.Создать цепочку "AAIN" и включить ее в FORWARD

iptables -N AAIN 
iptables -I FORWARD -j AAIN

получиться ниже 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  325 19767 AAIN       all  --  *      *       0.0.0.0/0            0.0.0.0/0 

2.Добавить нужные IP для контроля (откуда) и "куда" при необходимости добавив критерии в два правила ниже

grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE   
do                                                                           
   iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null                     
   if [ $? -ne 0 ]; then                                               
     iptables -I AAIN -d ${IP} -j RETURN                       
     iptables -I AAIN -s ${IP} -j RETURN                       
   fi                                                                  
done                                                                        

получится например 
Chain RRDIPT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       192.168.1.99         0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.1.99      
    0     0 RETURN     all  --  *      *       192.168.1.254        0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.1.254     
  325 19767 RETURN     all  --  *      *       192.168.1.2          0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.1.2  

3.Любыми способами прочитать данные из цепочки "AAIN" или например так

iptables -L AAIN -vnx -t filter | grep 192.168 | awk 'BEGIN { printf "{table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat

вывод в traffic.dat
{table::'192.168.1.99','0','0','192.168.1.254','0','0','192.168.1.2','25801','0','-','17:53:37'}

Результат на клиенте источнике 192.168.1.2 получили 25801 bytes для получателя 0.0.0.0/0

Или второй клиент появился

Chain RRDIPT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       192.168.1.99         0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.130.99      
  814 49075 RETURN     all  --  *      *       192.168.1.16         0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.130.16      
    0     0 RETURN     all  --  *      *       192.168.1.254        0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.130.254     
  133  8152 RETURN     all  --  *      *       192.168.1.2          0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.130.2

 

Edited October 19, 2016 by vasek00

[Le ecureuil]

Опять-таки стоит учесть, что системный демон ndm по своему желанию может переписать правила netfilter в любой момент, и все счетчики слетят. А уведомление в виде коллбэк-скрипта netfilter.d вы получите уже после перезаписи.