welinux.ru/Есть вопрос! — очередность iptables iproute2 [Решено]

greynix 02.03.11 09:07 # +0–

приветствую, а покажи еще ip r l t yota и ip r l t gt . Да и еще у тебя получается что ты маршрутизируеш просто отдельные хосты (5.122 1.120) это так или это только для эксперимента. К стати а не думал просто натить помеченые пакеты через разные интерфейсы?

$kat 02.03.11 13:02 # ↑ +0–

@ubuntu1004:~$ ip route list table gt
192.168.5.0/24 dev eth2 scope link
192.168.1.0/24 dev eth0 scope link src 192.168.1.120
127.0.0.0/8 dev lo scope link
default via 192.168.1.1 dev eth0

@ubuntu1004:~$ ip route list table yota
192.168.5.0/24 dev eth2 scope link src 192.168.5.122
192.168.1.0/24 dev eth0 scope link
127.0.0.0/8 dev lo scope link
default via 192.168.5.1 dev eth2

Да и еще у тебя получается что ты маршрутизируеш просто отдельные хосты (5.122 1.120) это так или это только для эксперимента.

Если это про следующие строки

1
2
3
4 32764: from 192.168.5.122 lookup yota 32765: from 192.168.1.120 lookup gt

то, т.к. 5.122 и 1.120 являются шлюзами, эти правила обеспечивают ответ на приходящий запрос с того интерфейса, на который этот запрос пришел (так во всяком случае написано в >5 howto, включая advanced routing howto).
Это необходимо для доступности служб локальной сети из вне, проблема, которая пока еще ждет своего решения. Тут кстати вопрос возникает, на сколько хватает моих знаний, пакеты же, которые валятся с этих адресов, имеют адрес источника не 1.120 или 5.122, а свои какие то, адреса хостов, которыми они были сгенерированы. Т.о. я не очень понимаю, как в данном случае работают эти правила.

: $kat 02.03.11 13:08 # ↑ +0–

К стати а не думал просто натить помеченые пакеты через разные интерфейсы?

Имеется ввиду что то вроде
iptables -t nat -A PREROUTING MARK 100 -j SNAT --to-source 192.168.1.120
?
Если такое, то нет, не пробовал, вечером попробую.

: zb 02.03.11 10:11 # +0–

Когда я такое делал я использовал еще и CONNMARK, хотя здесь не уверен что так надо (в моем случае я так-же делил траффик генерируемый хостом шлюза) вообще юзай сниферы и все станет понятно.

: zb 02.03.11 10:12 # +0–

сорри, не заметил connmark. сек, посмотрю эти скрытые штуки :)

zb 02.03.11 10:17 # +0–

вообще хороший совет почти не по делу - вынеси в отдельные таблицы в iptables эти правила с пометкой соединений. и покажи что у тебя в NAT

$kat 02.03.11 13:16 # ↑ +0–

ок, спасибо, попробую вечером перекроить в отдельную цепочку.

1
2
3
4
5
6
7
8 @ubuntu1004:~$ sudo iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- 192.168.1.0/24 192.168.1.0/24 to:192.168.1.120 SNAT all -- 192.168.1.0/24 192.168.1.0/24 to:192.168.5.122

cppmm 02.03.11 12:17 # +1–

Зависит от того, в какой цепочке правила iptables. Если PREROUTING, то работа до iproute2, если POSTROUTING, то после.
Для маркировки используется PREROUTING, соответственно, метки ставятся до принятия решения о маршрутизации. Выглядит у вас всё верно. Покажите, как выше и говорили что в дополнительных таблицах.
Кроме этого, лучше не iptraf'ом смотреть, а чем-нибудь посерьёзнее, вроде tcpdump'а.

$kat 02.03.11 13:27 # ↑ +0–

Спасибо, внесли ясность. Я читал, что connmark --restore используют в цепочке OUTPUT, но пакеты от пользователей, для которых данная машина - шлюз, в интернет будут идти по цепочке FORWARD, соответственно правило сonnmark --restore на них не распространяться. Именно по этому я внес правило сonnmark --restore в таблицу
POSTROUTING. Однако, если исходить из того, что цепочка POSTROUTING выполняется после маршрутизации ядра, то смысла в этом правиле нет, маршрутизация уже прошла и метки пакетов бесполезны.
Тогда возникает вопрос: в какой цепочке необходимо выполнять сonnmark --restore для транзитных пакетов?
Либо мои рассуждения где то не верны, прошу поправить, если так.

Таблицы показал выше, если чего то не хватает - напишите, сделаю.

cppmm 03.03.11 08:53 # ↑ +0–

Ну логично же, что надо проставить метки в PREROUTING.
Причём для такой задачи обычно достаточно обычного MARK.

: $kat 04.03.11 15:09 # ↑ +0–

да, спасибо.
Однако, как оказалось, для целей управления трафика к vkontakte простого MARK не достаточно, инициализируется куча соединений, которые не перехватываются. Помогло

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d vkontakte.ru -j MARK --set-mark 2

kstep 02.03.11 15:24 # ↑ +0–

Кагбе да. Добавлю картинку из вики:

: $kat 04.03.11 15:10 # ↑ +0–

да, спасибо, подробно.

—

02.03.11 04:32 $kat

Есть вопрос! — очередность iptables iproute2 [Решено]

Решено:

День добрый. Все перекопал, не смог найти ответ на следующий вопрос:
при прохождении пакетов через систему, в каком месте схемы работы фаервола netfilter\iptables начинает работать маршрутизация ядра, которая настраивается через iproute2?
Проходят ли маршрутизацию по правилам, задаваемым через ip rule add, пакеты, ушедшие в цепочку FORWARD netfilter`a?

Из-за чего возник вопрос:
Шлюз локальной сети подключен к 2м провайдерам. Один нормальный и стабильный, второй - yota, часто падает, большие пинги, из-за чего сессии imap ведут себя некультурно и нервируют простых пользователей.
Цель - завернуть всю почту и icq на стабильный канал, а весь побочный и неважный трафик (в данном примере - вконтнакт) на yota.
Для остального, неклассифицированного трафика выбор шлюза происходит по схеме

ip route add default scope global nexthop via $P1 dev $IF1 weight $W1 \
nexthop via $P2 dev $IF2 weight $W2

т.е. 66% трафика на один шлюз, остаток на другой.

В теории такая маршрутизация осуществляется следующим образом:

маркируем соединения, которые необходимо маршрутизировать:
@ubuntu1004:~$ sudo iptables -t mangle -L

CONNMARK tcp -- anywhere anywhere tcp dpt:smtp CONNMARK xset 0x64/0xffffffff
CONNMARK tcp -- anywhere anywhere tcp dpt:pop3 CONNMARK xset 0x64/0xffffffff
CONNMARK tcp -- anywhere anywhere tcp dpt:imap2 CONNMARK xset 0x64/0xffffffff
CONNMARK tcp -- anywhere anywhere tcp dpt:ssmtp CONNMARK xset 0x64/0xffffffff
CONNMARK tcp -- anywhere anywhere tcp dpt:imaps CONNMARK xset 0x64/0xffffffff
CONNMARK tcp -- anywhere anywhere tcp dpt:aol CONNMARK xset 0x64/0xffffffff
CONNMARK tcp -- anywhere srv251-131.vkontakte.ru CONNMARK xset 0x65/0xffffffff
CONNMARK tcp -- anywhere srv252-131.vkontakte.ru CONNMARK xset 0x65/0xffffffff
CONNMARK tcp -- anywhere srv253-131.vkontakte.ru CONNMARK xset 0x65/0xffffffff
CONNMARK tcp -- anywhere srv254-131.vkontakte.ru CONNMARK xset 0x65/0xffffffff
CONNMARK tcp -- anywhere srv249-131.vkontakte.ru CONNMARK xset 0x65/0xffffffff
CONNMARK tcp -- anywhere srv250-131.vkontakte.ru CONNMARK xset 0x65/0xffffffff

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
CONNMARK all -- anywhere anywhere CONNMARK restore

Создаем правила длч промаркированных пакетов\соединений:

@ubuntu1004:~$ ip rule list

0: from all lookup local
32762: from all fwmark 0x65 lookup yota
32763: from all fwmark 0x64 lookup gt
32764: from 192.168.5.122 lookup yota
32765: from 192.168.1.120 lookup gt
32766: from all lookup main
32767: from all lookup default

таблицы маршрутизации ведут к разным интерфейсам и разным провайдерам.
Однако, iptraf показывает, что пакеты до вконтакта идут по обоим шлюзам, как и обращение к постовым серверам.
Подскажите, почему не срабатывает маршрутизация?

Похожие +0–

Roland — « Есть проблема! / После установки runtu 10.10 на нетбук Acer в 255, в видео после паузы пропадает звук.» dront78 — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» deamk — « Есть проблема! / GRUB ждет ввода с клавиатуры» Slip — « Есть проблема! / Торренты и NTFS-раздел на Ubuntu 10.04» Zereal — « Talks! / Конкурсные скрипты» ( -1 ) Budda40 — « Есть проблема! / После установки runtu 10.10 на нетбук Acer в 255, в видео после паузы пропадает звук.» Есть проблема! — «GRUB ждет ввода с клавиатуры» uscr — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» dront78 — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» dront78 — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» gardarea51 — « Есть проблема! / Торренты и NTFS-раздел на Ubuntu 10.04» Antioh — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» thebeetlebum — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» ( -1 ) dimzon — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux» dimzon — « Есть проблема! / Торренты и NTFS-раздел на Ubuntu 10.04» pavel-g — « Есть вопрос! / Samsung N150 Plus S2RAM - ArchLinux»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 159) Tips & tricks (38) How-to`s (29) Есть вопрос! (27) Archlinux (26) Vim (23) Я рекомендую. (22) Python (21) Мой рабочий стол. (19) KDE (18) Скрипты (18)
Элита (все 3266 из 235 городов) muhas (278.45) Shtsh (193.4) cppmm (161) ZogG (159.5) digiwhite (143.5) Aesdana (132.1) h0rr0rr_drag0n (125.5) wiz (117.4) kstep (106.4) Minoru (99.95)

В сети: like-all, greshnik, LeXuS, Midler, Sokoloff, doraneko, philosoft, Shtsh, vkapas, s47, dimlight, Zereal

Новенькие: like-all, externum, anvalb, Kazaf, twisted