Вопрос по работе fwmark и маршрутизации.
Здравствуйте!
Продолжаю познавать увлекательный мир сетей. :)
Есть локальная сеть с роутером на Джетне, с которого доступ в интернет и тамже подключение по vpn.
Из локалки один компьютер использует основное подключение к интернету, а другой шлюз доступный через vpn.
Есть две таблицы inet и vpn.
Если правило статической маршрутизации, то все работает:
ip rule add from 192.168.0.95 lookup vpn
Комп 192.168.0.95 ходит в инет через шлюз указаный в таблице vpn.
Но если я маркирую iptables пакеты для 192.168.0.95 и от 192.168.0.95:
iptables --table mangle --append PREROUTING --destination 192.168.0.95 --jump MARK --set-mark 3
iptables --table mangle --append PREROUTING --source 192.168.0.95 --jump MARK --set-mark 3
iptables --table mangle --append FORWARD --destination 192.168.0.95 --jump CONNMARK --save-mark
iptables --table mangle --append FORWARD --source 192.168.0.95 --jump CONNMARK --save-mark
И добавляю правило
ip rule add from all fwmark 0x3 lookup vpn
То пинг перестает ходить. Причем на интерфейсе vpn он идет в обе стороны, а уже на интерфейсе в локалку ответ от пингуемого сервера не проходит.
То есть пакеты ответа на пинг толи не попадают в таблицу vpn (хотя правило статическое есть что с этого шлюза в эту таблицу), толи не проходят по таблице vpn..
Подскажите где я ошибся?
- Для комментирования войдите или зарегистрируйтесь
Пинг конечно дело хорошее… Но
Пинг конечно дело хорошее…
Но что пишется в журналы?
:wq
--
Live free or die
Не чего не пишется. У
Не чего не пишется. У iptables в лог уходит у меня только то что запрещено, а тут forward разрешен.
/
Странная логика.
Нарисуй в forward drop с журналированием всех reject'ов и пропусканием только явно разрешённого — и будет тебе счастье.
:wq
--
Live free or die
У меня так и сделано, то что
У меня так и сделано, то что режектится или дропаеться идет в лог. Не чего неправильного нет, пакеты тупо теряются.
/
Повторяю вопрос о политике цепочки
FORWARD.:wq
--
Live free or die
В FORWARD ставил уже просто
В FORWARD ставил уже просто ACCEPT на все. Поставил на логирование, пакет проходит FORWARD туда, а обратно ответ в FORWARD даже не появляется.
Логировал все что можно в iptables. Ответ идущий на пинг последний раз появляется в mangle PREROUTING, а в nat PREROUTING уже нет пакета, и далее нет негде... :( Причем в mangle все значения коректны и есть маркировка.
man 8 iptables-extensions,
man 8 iptables-extensions, search TRACE.
P.S расценки на чтение манов вслух,в связи с очень большим спросом и инфляцией,возросли в 2 раза.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Причем тут iptables, если все
Причем тут iptables, если все начинает работать если средствами iproute2 только меняется правило направления в таблицу не по маркировке а по исходящему адресу?
Спасибо конечно, но вслух читать начало топика не предлагаю...
В результате всяких
В результате всяких проб:
Замена правила приводит к нормальной работе но без iptables.
ip rule del fwmark 0x3 table vpn
ip rule add from 192.168.0.95 table vpn