Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Victor Krapivin                      2:5080/1003    17 Mar 2005  00:26:53
 To : All
 Subject : iptables mangling and source based routing
 -------------------------------------------------------------------------------- 
 
 Привет многоуважаемый all!
 
 Есть машинка с SuSE 9.2 (проапгрейдили на свою голову с 8.1). Шлюз в
 и-нет, SkyStar2, шейпер, transparent proxy + delay_pools, маскарад и еще
 много всего накручено.
 
 И появился один неприятный эффект. 
 
 Понятно, что ICQ (а также ssh, smtp, VPN, подставить по вкусу)
 заворачивать в тарелку смысла нет. Для сего было накручено согласно
 lartc.org следующее
 
   ip rule add fwmark 1 table satellite
   ip route add default gw 192.168.5.40 dev gre1
   ip route flush cache
 
 (таблиц несколько разных, как и сетевых интерфейсов) и через iptables
 раздавалось по потребностям - кому, чего и сколько. Кому в медленный
 анлимит, кому в быстрый ADSL, а кому - в тарелку. Hа ведре начиная с
 2.4.19 (или около того) - работало как надо. Теперь ведро 2.6.8-11. И -
 подземный стук. 
 
 Вот так - 
 
    ip rule add from 192.168.1.21 table satellite
 
 работает. Hо отправлять все в тарелку нежелательно - тот же ssh через
 нее ходит с приличным лагом. 
 
 Вот такое - 
 
    route add 193.0.0.193 gw 192.168.5.40 dev gre1
 
 тоже работает. А вот такое - 
 
    iptables -t mangle -A PREROUTING -s 192.168.1.21 --dport ftp -j MARK
 --set-mark 1
 
 счетчики конечно крутит, и даже запрос в туннель уходит (видно по
 tcpdump -i gre1). А ответа в tcpdump -i dvb0_0 нет (маскарад поднят на
 всех интерфейсах). Hе прописывать же список хостов, с которых чего можно
 а чего нельзя 8-) А таблицу для smtp вообще так не заменить - хосты те
 же, сервисы разные. Раньше pop3 например шел по тарелке, а smtp - по
 ADSL, а теперь - фигушки.
 
 Гугель дает совет - rp filter отключить. Он и так отключен - чтобы
 ответы с тарелки приходили. 
 
    cat /proc/sys/net/ipv4/conf/*/rp_filter выдает одни нули.
 
 Драйвера те же, скрипты те же, и как бороть - непонятно. Пробовали уж по
 всякому - default gw = gre1, таблицы для eth1/ppp0/ppp1, и наоборот -
 (default eth1) - счетчики крутятся, и на этом остановка. 
 
 Кто что посоветует?
 
 --
 Viktor
 --- ifmail v.2.15dev5
  * Origin: Zaval CE (2:5080/1003@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 iptables mangling and source based routing   Victor Krapivin   17 Mar 2005 00:26:53 
 Re: iptables mangling and source based routing   Eugene B. Berdnikov   17 Mar 2005 03:08:27 
 Re: iptables mangling and source based routing   Victor Krapivin   19 Mar 2005 01:26:22 
Архивное /ru.linux/14646d20209e5.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional