Frozen Fido : RU.LINUX : Re: iptables mangling and source based routing

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Eugene B. Berdnikov                  2:5020/400     19 Mar 2005  02:08:24
 To : Victor Krapivin
 Subject : Re: iptables mangling and source based routing
 --------------------------------------------------------------------------------

 Victor Krapivin <v.krapivin@zaval.org> wrote:

 >> VK> 2.4.19 (или около того) - работало как надо. Теперь ведро 2.6.8-11. И -
 >> VK> подземный стук.
 >> [...]
 >> VK> счетчики конечно крутит, и даже запрос в туннель уходит (видно по
 >> VK> tcpdump -i gre1). А ответа в tcpdump -i dvb0_0 нет
 >> 
 >>  А GRE уходит в сеть? Если это IPsec, можно подозревать багу в шифровании.
 VK> 
 VK> Куда ж оно денется?

  Пропавшие без вести пакеты иногда можно с удивлением найти в kern.log.
  А иногда (при rp_filter=1, например) даже там искать их надо умеючи.

 VK> Если прописать безусловный раутинг на gre1 либо по
 VK> src, либо по dst - работает. С маскарадом и прочим...
 VK> А вот set-mark (port based routing) к этому делу не припаивается...

 [...]

 VK> Я ж говорю - почти все работает, кроме port based routing. Вот к примеру
 VK> вбиваю route add чего-то-там.com, и прекрасно тащу каким-нибудь wget что
 VK> с линуха, что с ближайших виндов 100к/с с вышеуказанного сайта. И
 VK> tcpdump все показывает, и iptraf радует приятным мельканием килобайтов. 

 [...]

 VK> И ip rule add from windows-ip-address table satellite - тоже работает
 VK> как надо. В таблице satellite окромя дефолта уже ничего не осталось.

 [...]

 >>  Прежде всего проверить, что работает драйвер SkyStar2 - виден спутник
 >>  и с тарелки принимаются нормальные пакеты.
 VK> 
 VK> Hемаркированные - летают. С set-mark - нет. Прямо шаманство какое-то 8-/

  "Hе верю" (с)

  Вы утверждаете, что видите tcpdump'ом пакеты, уходящие в gre1.
  Покажите эти дампы, а также дампы с физического интерфейса, через
  который уходит gre (tcpdump -nlvp). Покажите те же дампы для
  ситуации, когда маркировки нет. Я хочу убедиться, что туплы
  (src_ip,src_port,dst_ip,dst_port) в обоих случаях совпадают -
  как для транспорта (gre), так и для инкапсулированных пакетов.

  И ещё надо посмотреть, что написано в контраке насчёт этих коннекций.
 -- 
  Eugene Berdnikov
 --- ifmail v.2.15dev5.3
  * Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: iptables mangling and source based routing	Eugene B. Berdnikov	19 Mar 2005 02:08:24
Re: iptables mangling and source based routing	Victor Krapivin	21 Mar 2005 23:05:16

Архивное /ru.linux/3651358d97a6.html, оценка 1 из 5, голосов 10