Netplan: Roteie várias conexões paralelas à Internet com encaminhamento de porta para um único servidor com 1 porta de rede

Acabei obtendo minha solução do artigo e comentários em Policy Routing no Linux com base no endereço MAC do remetente e na referência Netplan.io em Policy-Routing .

O truque é marcar e CONNTRACK os pacotes de entrada pelo endereço MAC de origem para uma tabela de roteamento separada via iptables -t mangle, e então dizer ao Netplan para usar a tabela para rotear os pacotes de saída apropriadamente.

Primeiro, precisamos de tabelas para que nossos pacotes sejam agrupados:

Anexe o seguinte ao arquivo /etc/iproute2/rt_tables:

1 modem1
2 modem2

Em seguida, informe ao Netplan sobre as tabelas, rotas e marcas:

network:
  version: 2
  ethernets:
    eth0:
      routes:
        - to: 0.0.0.0/0
          via: 192.168.0.1
          table: 1
        - to: 0.0.0.0/0
          via: 192.168.0.2
          table: 2
      routing-policy:
        - from: 0.0.0.0/0
          mark: 1
          table: 1
        - from: 0.0.0.0/0
          mark: 2
          table: 2

Esta primeira parte informa netplanque os pacotes nessas diferentes tabelas precisam de rotas padrão diferentes. A segunda parte diz que alguns pacotes terão um fwmarkfrom iptables, e esses pacotes devem ser agrupados nessas tabelas.

Em seguida, diga iptablespara marcar os pacotes pelo endereço MAC de origem, mas apenas quando não for da rede local (um pequeno script):

#!/bin/bash -x
MAC_MODEM1=AA:BB:CC:DD:EE:01
MAC_MODEM2=AA:BB:CC:DD:EE:02
MARK_MODEM1=0x1
MARK_MODEM2=0x2
LOCALNET=192.168.0.0/24

## Optional - Clear everything first
iptables -t mangle -F

for MODEM in MODEM1 MODEM2; do
    MAC=MAC_$MODEM
    MARK=MARK_$MODEM
    iptables --table mangle --append INPUT \
    --match state --state NEW \
    --match mac --mac-source ${!MAC} \
    ! --source $LOCALNET \
    --jump CONNMARK --set-mark ${!MARK}
done
iptables --table mangle --append OUTPUT \
--jump CONNMARK --restore-mark

Em seguida, diga ao netplan para gerar e aplicar:

$ sudo netplan generate
$ sudo netplan apply

e voilá!

RESPOSTA DE BÔNUS

Se você tiver mais de uma rede interna (por exemplo, uma VPN via IP não local), use ipsete iptables -m set ! -match-set alias, por exemplo

ipset destroy officenets #optional - to clear

LOCALNET=192.168.0.0/24
VPNNET=10.10.10.0/29

ipset create privatenets hash:net
ipset add privatenets $LOCALNET
ipset add privatenets $VPNNET

então no script iptables ....

    iptables --table mangle --append INPUT \
    --match state --state NEW \
    --match mac --mac-source ${!MAC} \
    -m set \
    ! --match-set privatenets src \
    --jump CONNMARK --set-mark ${!MARK}

Verificação

Verifique as regras de fwmark para rotear tabelas:

$ ip rule
0:  from all lookup local 
0:  from all fwmark 0x1 lookup modem1 
0:  from all fwmark 0x2 lookup modem2 
32766:  from all lookup main 
32767:  from all lookup default 

Verifique o roteamento mangle do iptables:

$ sudo iptables -t mangle -L
...
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
CONNMARK   all  --  anywhere             anywhere             state NEW MAC AA:BB:CC:DD:EE:01 ! source 192.168.0.1/24 CONNMARK set 0x1
CONNMARK   all  --  anywhere             anywhere             state NEW MAC AA:BB:CC:DD:EE:02 ! source 192.168.0.2/24 CONNMARK set 0x2

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
CONNMARK   all  --  anywhere             anywhere             CONNMARK restore
...

Verifique as rotas da tabela de saída:

$ ip route list table modem1
default via 192.168.0.1 dev eth0 proto static
$ ip route list table modem2
default via 192.168.0.2 dev eth0 proto static