Perguntas[ubuntu](server)

<Location /server-status>
        SetHandler server-status
        Require local
</Location>

# Keep track of extended status information for each request
ExtendedStatus On

Isso está no meu /etc/apache2/mods-enabled/status.conf

Obviamente, quando tento acessar isso do meu computador doméstico, falha, mas se eu adicionar Permitir tudo e remover Exigir local e for para /server-status, ele mostra a página 404 do Wordpress, o que é estranho.

Não tenho certeza do que preciso alterar para que seja exibida a página mod_status real em vez da página 404 do Wordpress.

Se precisar de mais informações, por favor me avise.

Tenho um servidor Ubuntu em bare metal que foi configurado por terceiros. Ele executa um serviço proprietário. Não há documentação adequada sobre o que está sendo executado e como.

Tive que redirecionar este servidor para outro serviço, um servidor Ubuntu com contêineres Docker executando o novo serviço.

Preciso executar o serviço proprietário anterior que estava sendo executado no servidor bare metal. Também preciso executá-lo em um contêiner para facilitar a implantação e o gerenciamento.

Não tenho certeza de como mover um servidor Ubuntu para contêineres.

Eu sei que esse não é o "jeito Docker" de fazer isso.

Uma abordagem que encontrei é criar uma imagem do zero e transferir o sistema de arquivos, exceto as seguintes pastas: /proc, /sys, /dev, /tmp, /mnt, /media, /run, /boot e /swapfile

FROM scratch
ADD folders-to-transfer.tar.gz /
CMD ["/bin/bash"]

Esta é a maneira correta?

Outros sugeriram usar uma VM, o que parece exagero.

Tenho o Fail2Ban instalado no meu servidor e gostaria que ele bloqueasse todos os protocolos (TCP, UDP, ICMP) quando um IP é banido, não apenas o TCP. Estou tentando definir a protocol = allopção, mas estou enfrentando problemas.

Aqui está parte de uma configuração padrão no iptables.confarquivo na [Init]seção:

# Option:  protocol
# Notes.:  internally used by config reader for interpolations.
# Values:  [ tcp | udp | icmp | all ] Default: tcp
#
protocol = tcp

Quero mudar tcppara allque todos os protocolos sejam bloqueados, mas a mudança não parece ter efeito. Também criei um iptables.localarquivo com o seguinte conteúdo para substituir as configurações padrão de iptables.conf. No entanto, após reiniciar o Fail2Ban, ele ainda bloqueia apenas conexões TCP

[Init]
protocol = all

Alguém poderia me ajudar a configurar o Fail2Ban para bloquear todos os protocolos? O que devo fazer para que o protocol = all change funcione? Devo modificar algum outro arquivo de configuração ou há alguma configuração adicional que preciso ajustar?

Obrigado pela ajuda!

Depois de cerca de 30 horas quase batendo a cabeça nas paredes, tive que chegar à conclusão de que é melhor escrever para pessoas que podem ser mais versadas no assunto.

Tenho um servidor Digitalocean usando Ubuntu 22.

Sim, eu sei que a Digitalocean não suporta o envio de e-mails e coisas do tipo, mas estou usando o Postfix apenas como um servidor de retransmissão simples, nada mais.

Basicamente, estou usando o Amazon SES neste momento, para enviar um e-mail para ex: " [email protected] ". Tenho vários domínios que precisam ser manipulados, não apenas um, e todas as configurações desses domínios (DNS) estão corretamente definidas apontando para o servidor. Na verdade, estava funcionando antes com o brevo, mas devo ter tido alguma configuração incorreta, porque eles suspenderam aleatoriamente a conta por violação de TOS, o que, é claro, não foi dado com nenhuma razão, além de "desculpe, você está suspenso".

Suspeito que eu estava retransmitindo endereços "De:" diretamente dos remetentes, e eles pensaram que alguém assumiu o controle da conta ou algo assim, o que é justo.

De qualquer forma... Agora que descrevi a configuração básica e as circunstâncias. O problema é que tenho um filtro configurado, o que é absolutamente crucial para fazer isso funcionar, e parece que se eu fizer um serviço content_filter personalizado em master.cf:

shell_content_filter unix - n n - - pipe
  flags=Rq user=filteruser argv=/usr/local/bin/minimal_filter.sh

Esta é a parte do log onde podemos ver o problema:

"relay=shell_content_filter, delay=0.04, delays=0.01/0/0/0.02, dsn=2.0.0, status=sent (delivered via shell_content_filter service"

E em main.cf:

content_filter = shell_content_filter
receive_override_options = no_address_mappings

Sim, um "filteruser" foi criado e sim, ele funciona corretamente, todas as permissões estão definidas corretamente e testadas, tudo está funcionando bem, mas meu filtro está sendo reconhecido como um retransmissor e está literalmente dizendo que os e-mails estão sendo entregues por um serviço externo, o que não faz sentido... para mim, pelo menos.

Não tenho certeza se essas informações são suficientes. Eu realmente agradeceria se alguém soubesse o que está acontecendo, porque estou com muitos problemas, e-mails foram perdidos, nunca mais serão recuperados e ainda não consigo fazer funcionar.

Basicamente, tenho um serviço escutando eth0's 10.16.1.1na porta 1000de uma máquina Ubuntu 22.04. Este serviço não permite escutar um catchall como 0.0.0.0 (fora do meu controle). Esta é uma rede interna.

Para acesso remoto, também tenho uma rede VPN em execução wg0que atribuiu o endereço 192.168.100.1a esta máquina.

Aqui está a pergunta: Como encaminho solicitações para 192.168.100.1:1000pousar em 10.16.1.1:1000?

Preciso de ajuda para redirecionar o tráfego na minha máquina virtual Ubuntu rodando em parallels para a porta 443 com uma URL de túnel para a porta 1111 na mesma máquina Ubuntu. Uma vez que isso for bem-sucedido, o servidor em 1111 deve encaminhar a solicitação para a URL do túnel. Por algum motivo, quando tento usar iptables e HAProxy, não funciona

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.2 LTS
Release:    20.04
Codename:   focal

Para IPTables

Tentei definir ip_forward config flag to 1se é assim que você chama.

Tentei definir a configuração de pré-roteamento para o seguinte:

sudo iptables -t nat -A PREROUTING -p tcp -d rnqhc-adas-ads-ed01-cb00-sada-asdds-asdd-iii.a.free.pinggy.link --dport 443 -j DNAT --to-destination 127.0.0.1:1111

Then I've masqueraded it.

E acrescentou

sudo iptables -t nat -A OUTPUT -p tcp --dport 443 -d rnqhc-adas-ads-ed01-cb00-sada-asdds-asdd-iii.a.free.pinggy.link -j ACCEPT

Também vi respostas de: O redirecionamento de tráfego do IPTables não está funcionando , mas não ajudou.

Para HAProxy eu tentei:

frontend https_front
    bind *:443 ssl crt /home/devhouse/Developer/mycert_combined.pem
    acl host_mydomain hdr(host) rnqhc-adas-ads-ed01-cb00-sada-asdds-asdd-iii.a.free.pinggy.link
    use_backend my_backend if host_mydomain

backend my_backend
    server local_proxy 127.0.0.1:1111

Acho que estou esquecendo de alguma coisa

Tenho um servidor Ubuntu 24.04.1 LTS executando o Strongswan.

Desde então, descobri que ele está usando o nftables e não o iptables como firewall.

Ao configurar a VPN, consigo me conectar ao cliente, mas não consigo acessar hosts na Internet por endereço IP ou resolver nomes.

Acho que estou esquecendo algumas regras de encaminhamento, mas não tenho certeza de como traduzi-las/aplicá-las em um formato NFT.

Que regra(s) preciso aplicar para que o IPV4 e o IPV6 funcionem para os clientes?

A configuração abaixo começou com um guia wireguard e eu o modifiquei para incluir outros serviços que tenho na máquina. Encontrei algumas referências do openwrt e strongswan e tentei traduzir isso, mas acho que ainda não atingi o objetivo. Agradeço qualquer conselho.

Obrigado.

Adicionei-os numa tentativa de passar o tráfego ipsec

pré-roteamento de cadeia

 meta ipsec exists ip saddr $IKE_NETS counter accept

cadeia inbound_world

    meta l4proto ah accept
    meta l4proto esp accept

/etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

define DEV_WG = wg0
define DEV_OVPN = tun0
define DEV_VPN = { $DEV_WG, $DEV_OVPN }
define DEV_WORLD = eth0
define IP_OVPN = 10.8.0.0/24
define IP_WORLD_V4 = public_v4_ip
define IP_WORLD_V6 = public_v6_ip
define PORT_IKE = { 500, 4500 }
define PORT_WG = 51820
define PORT_OVPN = 1194
define PORT_VPN = { $PORT_IKE, $PORT_WG, $PORT_OVPN  }
define DEV_LOCAL_NETS = { $DEV_VPN }
define DEV_OUT_NETS = { $DEV_WORLD }
#define IKE_NETS = { 172.16.252.0/24, fd5a:4c1f:8d73:f583::/64 } <- did not like the Ipv6 address
define IKE_NETS = { 172.16.252.0/24 }


# `inet` applies to both IPv4 and IPv6.
table inet global {
    map port_forwards_tcp_ipv4 {
        type ipv4_addr . inet_service : ipv4_addr . inet_service
        # lets forward port for our torrent. Our 12345 to 12345 on 172.16.0.2
        elements = { $IP_WORLD_V4 . 12345 : 172.16.0.2 . 12345 }
    }

    map port_forwards_tcp_ipv6 {
        type ipv6_addr . inet_service : ipv6_addr . inet_service
        # lets forward port for our torrent. Our 12345 to 12345 on fdf5:6028:947d:1234::2
        elements = { $IP_WORLD_V6 . 12345 : [fdf5:6028:947d:1234::2] . 12345}
    }

    map port_forwards_udp_ipv4 {
        type ipv4_addr . inet_service : ipv4_addr . inet_service
        # lets forward port for our torrent. Our 12345 to 12345 on 172.16.0.2
        elements = { $IP_WORLD_V4 . 12345 : 172.16.0.2 . 12345 }
    }

    map port_forwards_udp_ipv6 {
        type ipv6_addr . inet_service : ipv6_addr . inet_service
        # lets forward port for our torrent. Our 12345 to 12345 on fdf5:6028:947d:1234::2
        elements = { $IP_WORLD_V6 . 12345 : [fdf5:6028:947d:1234::2] . 12345}
    }

    chain inbound_world {
        # accepting ping (icmp-echo-request) for diagnostic purposes.
        # However, it also lets probes discover this host is alive.
        # This sample accepts them within a certain rate limit:
        #
        # icmp type echo-request limit rate 5/second accept

        # Allow IPv6 configuration packets
        icmpv6 type {nd-neighbor-solicit,nd-neighbor-advert,nd-router-solicit, 
             nd-router-advert,mld-listener-query,destination-unreachable,
             packet-too-big,time-exceeded,parameter-problem} accept

        # allow SSH
        tcp dport { 22 } accept

        # http, https
        tcp dport 80 accept
        tcp dport 443 accept

        # smtp, submission, smtps
        tcp dport 25 accept
        tcp dport 587 accept
        tcp dport 465 accept

        # pop3, pop3s
        tcp dport 110 accept
        tcp dport 995 accept

        # imap, imaps
        tcp dport 143 accept
        tcp dport 993 accept

       # allow VPN connection
    udp dport { $PORT_VPN } accept

    meta l4proto ah accept
    meta l4proto esp accept
    }

    chain inbound_vpn {
        # accepting ping (icmp-echo-request) for diagnostic purposes.
        icmp type echo-request limit rate 5/second accept

        # Allow IPv6 configuration packets
        icmpv6 type {nd-neighbor-solicit,nd-neighbor-advert,nd-router-solicit,
             nd-router-advert,mld-listener-query,destination-unreachable,
             packet-too-big,time-exceeded,parameter-problem} accept

        # allow DNS and SSH from the private network
        tcp dport { 22, 53 } accept
        udp dport { 53 } accept
    }

    chain inbound {
        # drop all traffic by default
        type filter hook input priority filter; policy drop;

        # Allow traffic from established and related packets, drop invalid
        ct state vmap { established : accept, related : accept, invalid : drop }
        # Allow dnat (port forwarding)
        ct status dnat accept

        # allow loopback traffic, anything else jump to chain for further evaluation
        iifname vmap { lo : accept, $DEV_WORLD : jump inbound_world, $DEV_VPN : jump inbound_vpn}

        # the rest is dropped by the above policy
    }

    chain forward {
        type filter hook forward priority filter; policy drop;

        # Allow traffic from established and related packets, drop invalid
        ct state vmap { established : accept, related : accept, invalid : drop }
        # Allow port forwarding
        ct status dnat accept

        # connections from the internal nets to the out nets are allowed
        iifname $DEV_LOCAL_NETS oifname $DEV_OUT_NETS accept
        # the rest is dropped by the above policy
        meta ipsec exists ip saddr $IKE_NETS counter accept


    }

    chain prerouting {
       type nat hook prerouting priority dstnat; policy accept;
       dnat ip addr . port to ip daddr . tcp dport map @port_forwards_tcp_ipv4
       dnat ip6 addr . port to ip6 daddr . tcp dport map @port_forwards_tcp_ipv6
       dnat ip addr . port to ip daddr . udp dport map @port_forwards_udp_ipv4
       dnat ip6 addr . port to ip6 daddr . udp dport map @port_forwards_udp_ipv6
       meta ipsec exists ip saddr $IKE_NETS counter accept
    }

    chain postrouting {
        type nat hook postrouting priority srcnat; policy accept;
        # Hide IPs from local nets to the internet.
        # We are using SNAT because we have static IP and it wil work faster than MASQUERADE
        iifname $DEV_LOCAL_NETS oifname $DEV_WORLD snat ip to $IP_WORLD_V4
        iifname $DEV_LOCAL_NETS oifname $DEV_WORLD snat ip6 to $IP_WORLD_V6
    }
}

Piscinas Strongswan:

pools {
    primary-pool-ipv4 {
        addrs = 172.16.252.0/24
        dns = 172.16.252.1, 8.8.8.8, 9.9.9.9
        split_exclude = 172.16.0.0/12
    }
    primary-pool-ipv6 {
        addrs = fd5a:4c1f:8d73:f583::/64
    dns = 2620:fe::fe, 2620:fe::9

    }

Aqui está o temporizador vsftpd-restart.timer

[Unit]
Description=Restart vsftpd daily at 6 AM
After=network.target

[Timer]
Unit=vsftpd-restart.service
OnCalendar=*-*-* 06:00:00
Persistent=true

[Install]
WantedBy=timers.target

Este é o script vsftpd-restart.service

[Unit]
Description=Restart vsftpd daily at 6 AM
After=network.target

[Service]
Type=oneshot
ExecStart=/bin/bash -c 'systemctl stop vsftpd; systemctl start vsftpd'

[Install]
WantedBy=vsftpd-restart.timer

E aqui está o log systemctl vsftpd

Oct 07 06:00:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:00:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:00:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:00:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:00:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:01:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:01:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:01:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:01:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:01:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:02:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:02:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:02:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:02:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:02:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:03:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:03:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:03:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:03:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:03:02 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:04:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:04:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:04:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:04:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:04:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:05:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:05:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:05:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:05:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:05:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:06:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:06:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:06:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:06:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:06:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:07:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:07:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:07:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:07:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:07:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:08:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:08:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:08:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:08:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:08:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:09:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:09:01 test systemd[1]: vsftpd.service: Deactivated successfully.
Oct 07 06:09:01 test systemd[1]: Stopped vsftpd.service - vsftpd FTP server.
Oct 07 06:09:01 test systemd[1]: Starting vsftpd.service - vsftpd FTP server...
Oct 07 06:09:01 test systemd[1]: Started vsftpd.service - vsftpd FTP server.
Oct 07 06:10:01 test systemd[1]: Stopping vsftpd.service - vsftpd FTP server...
Oct 07 06:10:01 test systemd[1]: vsftpd.service: Deactivated successfully.

eu atualizei o ubuntu 22.04 -- >> 24.04 agora está recebendo este erro enquanto o phpmyadmin não está sendo carregado no navegador

Seg Set 23 18:30:18.060029 2024] [php:error] [pid 11672] [client 192.168.1.150:54278] Erro fatal do PHP: TypeError não detectado: PhpMyAdmin\\Menu::__construct(): O argumento nº 1 ($dbi) deve ser do tipo PhpMyAdmin\\DatabaseInterface, nulo fornecido, chamado em /usr/share/phpmyadmin/libraries/classes/Header.php na linha 114 e definido em /usr/share/phpmyadmin/libraries/classes/Menu.php:57\nRastreamento de pilha:\n#0 /usr/share/phpmyadmin/libraries/classes/Header.php(114): PhpMyAdmin\\Menu->__construct()\n#1 /usr/share/phpmyadmin/libraries/classes/ResponseRenderer.php(168): PhpMyAdmin\\Header->__construct()\n#2 /usr/share/phpmyadmin/libraries/classes/ResponseRenderer.php(199): PhpMyAdmin\\ResponseRenderer->__construct()\n#3 /usr/share/phpmyadmin/libraries/classes/ErrorHandler.php(335): PhpMyAdmin\\ResponseRenderer::getInstance()\n#4 /usr/share/phpmyadmin/libraries/classes/ErrorHandler.php(307): PhpMyAdmin\\ErrorHandler->dispFatalError()\n#5 /usr/share/phpmyadmin/libraries/classes/ErrorHandler.php(237): PhpMyAdmin\\ErrorHandler->addError()\n#6 [interno função]: PhpMyAdmin\\ErrorHandler->handleException()\n#7 {main}\n lançado em /usr/share/phpmyadmin/libraries/classes/Menu.php na linha 57
[Seg Set 23 18:30:18.060184 2024] [php:error] [pid 11672] [client 192.168.1.150:54278] Erro fatal do PHP: Erro não detectado: Chamada para uma função membro getDisplay() em nulo em /usr/share/phpmyadmin/libraries/classes/ResponseRenderer.php:293\nRastreamento de pilha:\n#0 /usr/share/phpmyadmin/libraries/classes/ResponseRenderer.php(411): PhpMyAdmin\\ResponseRenderer->getDisplay()\n#1 [função interna]: PhpMyAdmin\\ResponseRenderer->response()\n#2 {main}\n lançado em /usr/share/phpmyadmin/libraries/classes/ResponseRenderer.php na linha 293

tentei todas as medidas para encontrá-lo online.

Antes usávamos o php7.4, agora configuramos o php8.3 (então, quando o php7.4 não permitia nem carregar o site), mas o PHP v8.3 pelo menos nos permite conectar ao site e carregá-lo no navegador (desde que foi atualizado)

mas quando fazemos http://192.168.1.100/phpmyadmin/ (ou localhost/phpmyadmin)

Esta página não está funcionando 192.168.1.100 não pode lidar com esta solicitação no momento. ERRO HTTP 500

Alguém pode nos ajudar?

No meu roteador (ubuntu/NFTables) configurei duas WANs, uma de cada ISP diferente.

Na configuração atual, posso garantir que qualquer máquina nas sub-redes possa navegar usando o primeiro ou o segundo link, de acordo com a regra do NFTables.

Observe que não é uma interface LAN específica (qualquer máquina em qualquer interface LAN pode navegar em qualquer um dos dois links com IPs públicos de acordo com a regra em NFTables)

Isso está funcionando, ok.

O problema que estou enfrentando agora é que as máquinas nas sub-redes deveriam se ver e elas nem sequer estão fazendo ping umas nas outras.

Alguém sabe como posso consertar isso para que, além de manter a navegação na internet assim, eu consiga fazer com que as máquinas conectadas na LAN1, LAN2, LAN3 e LAN4 consigam se comunicar entre si?

Abaixo está a configuração do netplan:

network:
ethernets:
    wan1:
        addresses:
        - 111.31.111.2/28
        - 111.31.111.3/28
        - 111.31.111.4/28
        - 111.31.111.5/28
        - 111.31.111.6/28
        - 111.31.111.7/28
        - 111.31.111.8/28
        - 111.31.111.9/28
        - 111.31.111.10/28
        - 111.31.111.11/28
        - 111.31.111.12/28
        - 111.31.111.13/28
        - 111.31.111.14/28
        nameservers:
            addresses:
            - 8.8.8.8
            - 8.8.4.4
            search: []
        routes:
        - to: default
          via: 111.31.111.1
          metric: 100
        - to: default
          via: 111.31.111.1
          metric: 100
          table: 100
        routing-policy:
        - from: 192.168.10.0/24
          table: 100
        - from: 192.168.20.0/24
          table: 100
        - from: 192.168.30.0/24
          table: 100
        - from: 192.168.40.0/24
          table: 100
    wan2:
        addresses:
        - 222.63.222.10/29
        - 222.63.222.11/29
        - 222.63.222.12/29
        - 222.63.222.13/29
        - 222.63.222.14/29
        nameservers:
            addresses:
            - 8.8.8.8
            - 8.8.4.4
            search: []
        routes:
        - to: default
          via: 222.63.222.9
          metric: 200
        - to: default
          via: 222.63.222.9
          metric: 200
          table: 200
        routing-policy:
        - from: 192.168.10.0/24
          table: 200
        - from: 192.168.20.0/24
          table: 200
        - from: 192.168.30.0/24
          table: 200
        - from: 192.168.40.0/24
          table: 200
    lan1:
        addresses:
        - 192.168.10.1/24
    lan2:
        addresses:
        - 192.168.20.1/24
    lan3:
        addresses:
        - 192.168.30.1/24
    lan4:
        addresses:
        - 192.168.40.1/24
version: 2

Tabelas e regras a seguir:

userrouter1@router1:~$ ip route
default via 111.31.111.1 dev wan1 proto static metric 100 
default via 222.63.222.9 dev wan2 proto static metric 200 
192.168.10.0/24 dev lan1 proto kernel scope link src 192.168.10.1 
192.168.40.0/24 dev lan4 proto kernel scope link src 192.168.40.1 
111.31.111.0/28 dev wan1 proto kernel scope link src 111.31.111.2 
222.63.222.8/29 dev wan2 proto kernel scope link src 222.63.222.10

userrouter1@router1:~$ ip rule
0:  from all lookup local
32756:  from 192.168.30.0/24 lookup 200 proto static
32757:  from 192.168.40.0/24 lookup 200 proto static
32758:  from 192.168.20.0/24 lookup 200 proto static
32759:  from 192.168.10.0/24 lookup 200 proto static
32760:  from 192.168.30.0/24 lookup 100 proto static
32761:  from 192.168.10.0/24 lookup 100 proto static
32762:  from 192.168.40.0/24 lookup 100 proto static
32763:  from 192.168.20.0/24 lookup 100 proto static
32766:  from all lookup main
32767:  from all lookup default

userrouter1@router1:~$ ip route show table 100
default via 111.31.111.1 dev wan1 proto static metric 100 

userrouter1@router1:~$ ip route show table 200
default via 222.63.222.9 dev wan2 proto static metric 200 

userrouter1@router1:~$ ip rule show table 100
32760:  from 192.168.30.0/24 lookup 100 proto static
32761:  from 192.168.10.0/24 lookup 100 proto static
32762:  from 192.168.40.0/24 lookup 100 proto static
32763:  from 192.168.20.0/24 lookup 100 proto static

userrouter1@router1:~$ ip rule show table 200
32756:  from 192.168.30.0/24 lookup 200 proto static
32757:  from 192.168.40.0/24 lookup 200 proto static
32758:  from 192.168.20.0/24 lookup 200 proto static
32759:  from 192.168.10.0/24 lookup 200 proto static

No momento, se eu estiver na máquina 192.168.10.10 não consigo fazer PING em 192.168.20.10, nem vice-versa... Eu precisava resolver esse problema, mantendo a navegação para IPs externos assim.

Alguém pode me ajudar?