|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Slava Astashonok 2:5020/400 21 Jul 2004 14:25:10
To : Dmitry Melekhov
Subject : Re: iptables fwmark ?
--------------------------------------------------------------------------------
Dmitry Melekhov wrote:
> Я хочу, чтобы весь icmp трафик убегал в сторону 192.168.150.1
>
> Для этого пишем:
>
> iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark 80
>
> ip rule add prio 221 table 221 fwmark 80
>
> ip route add default table 221 proto static nexthop via 192.168.150.1
> dev eth0.2
>
> Говорим ping:
>
> ping 213.24.189.1
> connect: Network is unreachable
[...]
Попробуйте добавить
iptables -A POSTROUTING -t nat -o eth0.2 -j SNAT --to-source 192.168.150.2
Кстати, -j MASQUERADE в данном случае не поможет.
Дело в том, что при формирования пакета просматривается таблица
маршрутизации для определения соответствующего src адреса, а
iptables-правило с fwmark "неожиданно" вмешивается в запланированную
схему маршрутизации, в результате у исходящего паета аолучается
некорректный src адрес. Полагаю, проблема именно в этом. Во всяком
случае, у меня и без SNAT у всё работало, только src адрес в исходящих
пакетах соответсвовал адресу основного интерфейса, а не тому через
который они уходили.
P.S. Воспользуйтесь tcpdump'ом. Возможно, его понадобится пускать с
дополнительным фильтром vlan.
--
Those who don't understand Linux are doomed to reinvent it, poorly. --
unidentified source
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: iptables fwmark ? |
Slava Astashonok |
21 Jul 2004 14:25:10 |
 Re: iptables fwmark ? |
Dmitry Melekhov |
22 Jul 2004 08:32:09 |
|
|
