Рою поиском и что-то не нахожу мне подходящих примеров.

Задача - одни службы направить на wan2, на одного провайдера,
другие (с конкретной машины), на wan1, на другого провайдера.

Машина службы с которой пойдут на wan1, должна быть в той же подсети,
что и остальные машины.

Подскажите принцип, плиз.

делайте сервис с нужными портами . и используйте его в правилах. поднимите только его выше других правил .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Создайте правила для служб
Чтобы определенные службы работали только с одной машины и через Wan2
Создайте правило
Источник lan/ip_addr
Назначение wan2/all_nets
Сервис - нужный вам сервис

ip_addr - адрес машины, с которой так должно работать

Это правило поместите в самый верх

P.S. Пока писал, появился ответ от другого форумянина

это уже стандартные решения задач . все решается правилами и сервисами если что то не работает или работаетр не так как хотелось бы - надо внимательно рассмотреть порядок обработки правил.

они обрабатываются сверху вниз . от корня и потом по папочкам если есть

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо, сегодня попробую. Я видимо слишком далеко копал.
А DNS вопрос как решается при такой схеме? Ручками
я ес-но могу прописать на этой машине.

DNS - как вам угодно можно решить
Можно общий DNS relay с внешними DNS
Можно клиент-зависимые правила для DNS по разным интерфейсам

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Прошу прощения, а точно нигде еще ничего прописывать не требуется?

Начал возиться с правилами, начал с простейшего - попробовать завернуть весь траффик на
другой wan. В уже имеющемся правиле lannet-wan1 просто меняю wan1 на wan2,
все перестает работать. Но внешний шлюз за wan2 по ip пингуется.
DNS пока оставляю старые, но по ip тоже никуда дальше шлюза ничего
не ходит.
В routing main, маршрут для wan2 прописан точно так же,
как и у работающего wan1, только со своим шлюзом.
В address book все что касается wan2 прописано точно так же, как для wan1,
со своими параметрами ес-но.

Где я примерно могу косячить?

Для заворачивания части трафика, используйте PBR и альтернативную таблицу маршрутизации

Чтобы весь трафик перенаправить, меняйте маршруты

В обоих случаях естественно надо делать IP rules

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, я уже сам в этом разобрался, все настроил. Но на какие я теперь грабли наступил,
не могу заставить работать проброс портов по альтернативной таблице маршрутизации.

Т.е. у меня есть исходные правила sat и allow c wan1 с пробросом нужных сервисов. C которыми все работает
со старым конфигом(с одним провайдером).
Я объединяю wan-ы, создаю альтернативную таблицу маршрутизации, все как тут описано.
http://www.dlink.ru/ru/faq/85/576.html

Весь траффик наружу заворачивается, как мне и нужно - с одной машины на один ван, с остальных на другой.

Я согласно мануалу создаю еще правило в PBR, в котором входящий маршрут используется альтернативный,
сервисы в нем все, any - all-nest, core - wan1 ip(у меня основной wan2 т.е. зеркально относительно примера в мануале).
Следуя здравому смыслу, это действие при обращении должно привести напрямую к работе старых правил проброса портов
с wan1 внутрь, только вот ничего не работает. Пробовал в старых правилах менять wan1 на wans - эффект нулевой.

Может на это как-то влиять тот факт, что у меня есть еще переменная - внешний ip той машины, которая у меня должна ходить
через wan1? Потому правила у меня ес-но к ней тоже привязаны.

Практически закончил, плюнул на ip, перенес нужный на wan1.

Осталось последнее - не могу сделать mail loopback при такой схеме.

Т.е. у почтового сервера маршрут через wan1, но при этом все остальные
изнутри сети до него не могут достучаться. Старое правило лоопбэка
не работает при такой схеме (((

Сейчас там у меня стоит lan lan-net + нужный сервис на core и wan1_ip.
Соответственно sat и allow. Но не работает.

логи 2011-09-04
19:20:08 Warning RULE
6000051 Default_Access_Rule TCP lan
192.168.0.48 62.118.хх.хх 49685
25 ruleset_drop_packet
drop ipdatalen=28 tcphdrlen=28 syn=1

А где он берет этот дефаулт?

Если default access rule, значит нет правил (маршрута)
Покажите таблицы маршрутизации, правила PBR (с деталями)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

<!-- RoutingTable -->
<RoutingTable Name="main" Ordering="Default" RemoveInterfaceIPRoutes="True" Comments="The main routing table of the system.">
<Route Interface="wan2" RouteMonitor="True" MonitorLinkStatus="True" Network="InterfaceAddresses/wan2net" Metric="90" />
<Route Interface="wan2" Gateway="InterfaceAddresses/wan2_gw" RouteMonitor="True" MonitorLinkStatus="True" MonitorGateway="True" Network="all-nets" Metric="90" />
</RoutingTable>
<RoutingTable Name="Alt">
<Route Interface="wan1" Gateway="InterfaceAddresses/wan1_gw" RouteMonitor="True" MonitorLinkStatus="True" MonitorGateway="True" Network="all-nets" Metric="90" />
<Route Interface="wan2" Gateway="InterfaceAddresses/wan2_gw" Network="all-nets" Metric="100" />
</RoutingTable>

<!-- RoutingRule -->
<RoutingRule Name="mail_mtu" ForwardRoutingTable="Alt" ReturnRoutingTable="main" SourceInterface="lan" SourceNetwork="InterfaceAddresses/mail_server_internal_ip" DestinationInterface="wan2" DestinationNetwork="all-nets" Service="all_services" />
<RoutingRule Name="inbound" ForwardRoutingTable="main" ReturnRoutingTable="Alt" SourceInterface="any" SourceNetwork="all-nets" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/wan1_ip" Service="all_services" />



Сорри, что не очень удобочитаемо, дернул их бэкапа, сейчас уже не могу с аппаратом вживую возиться.

Добавление явным образом правила forward routing table ALT, return - main,
source - lan/lannet destination-wan2/lannets c service loop(куда я загнал pop3 и smtp),
картины никак не меняет. Я полагал, что это правило загонит явным образом
весь траффик с 25 и 110-го на wan1, согласно альтернативной таблицы.

Дык.. Вы изнутри же пробуете. Надо NAT looopback в дополнение
SAT lan/lannet core/wan_ip yourservice, SAT: new dest = yourprivatehost
NAT lan/lannet core/wan_ip yourservice

И еще - мониторьте маршруты по ICMP

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Так эти правила у меня и были и есть, иначе как бы он у меня работал до всей моей эпопеи.
Соб-но весь прикол в том, что именно после того, как я направляю весь траффик на wan2, прописываю
приведенные правила маршрутизации и перенаправляю эту машину по альтернативному маршруту на wan1 , ТОЛЬКО лоопбэк отрубается,
хотя казалось бы какая ему хрен разница, поменялась только маршрутизация. У меня возникают мысли, а не работает ли оно у DFL
так - сначала весь траффик идет на WAN2, а с него уже на WAN1. Но с другой стороны, если у меня WAN-ы явным образом в группе,
между ними не надо же прописывать правила...
А мониторю я работу лоопбэка телнетом на нужный адрес.

Впрочем, безусловно спасибо за помощь, но я ларчик уже открыл ломом, т.е. сделал первый канал полностью резервным,
соб-но он под это и планировался, так что потребность в перенаправлении через него всего почтового траффика
отпала, как следствие и снялся мой вопрос.