forum.opennet.ru - "policy routing в linux" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"policy routing в linux"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"policy routing в linux"
Сообщение от Sova (??) on 27-Май-08, 11:52
Добрый день! помогите пожалуйста в настройке policy routing под linux. чего сделал: iptables -t mangle -A PREROUTING -m state --state NEW --protocol tcp --src $EXT --dst $ME --dport 22 --in-interface eth1 --jump CONNMARK --set-mark 0x5 iptables -A INPUT -p tcp -m connmark --mark 0x5 --src $EXT --dst $ME --dport 22 --in-interface eth1 --jump ACCEPT iptables -t mangle -A OUTPUT -p tcp --source $ME --sport 22 --dst $EXT --jump CONNMARK --restore-mark iptables -A OUTPUT -m mark --mark 0x5 -p tcp --source $ME --sport 22 --dst $EXT --out-interface eth1 --jump ACCEPT ip route add default via me.iface2.gate dev eth1 src me.iface2 table me2ext ip rule add fwmark 0x5 table me2ext всё хорошо и на входе connmark ставиться и на выходе он есть, но вот после restore-mark пакет на re-routing не попадает и пытается выйти через системный default gw и eth0. cat /proc/sys/net/ipv4/conf/eth1/rp_filter 0 Чего я забыл сделать или где я ошибся? Вообще в чем может быть проблема? Спасибо!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

policy routing в linux, PavelR, 14:27 , 27-Май-08, (1)

policy routing в linux, Sova, 14:30 , 27-Май-08, (2)

policy routing в linux, PavelR, 15:45 , 27-Май-08, (3)

policy routing в linux, Sova, 15:50 , 27-Май-08, (4)

policy routing в linux, PavelR, 16:53 , 27-Май-08, (5)

policy routing в linux, Sova, 08:01 , 28-Май-08, (6)

policy routing в linux, PavelR, 09:12 , 28-Май-08, (7)

policy routing в linux, Sova, 11:01 , 29-Май-08, (8)

policy routing в linux, PavelR, 11:27 , 29-Май-08, (9)

policy routing в linux, Sova, 11:37 , 29-Май-08, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "policy routing в linux"

Сообщение от PavelR (??) on 27-Май-08, 14:27

ip ru sh посмотри, твое правило в конец добавилось и не работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "policy routing в linux"

Сообщение от Sova (??) on 27-Май-08, 14:30

>ip ru sh посмотри, твое правило в конец добавилось и не работает.
ip ru sh
0:      from all lookup 255
32765:  from all fwmark 0x5 lookup me2ext
32766:  from all lookup main
32767:  from all lookup default

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "policy routing в linux"

Сообщение от PavelR (??) on 27-Май-08, 15:45

А теперь словами: "я хочу чтобы маршрутизация работала так: ..."
по правилам ломает разбираться, что вы под ними _подразумевали_

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "policy routing в linux"

Сообщение от Sova (??) on 27-Май-08, 15:50

>А теперь словами: "я хочу чтобы маршрутизация работала так: ..."
>
>по правилам ломает разбираться, что вы под ними _подразумевали_
хочется вот чего - чтобы все соединения с $EXT ходили через другой интерфейс (провайдера другого).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "policy routing в linux"

Сообщение от PavelR (??) on 27-Май-08, 16:53

>>А теперь словами: "я хочу чтобы маршрутизация работала так: ..."
>>
>>по правилам ломает разбираться, что вы под ними _подразумевали_
>
>хочется вот чего - чтобы все соединения с $EXT ходили через другой
>интерфейс (провайдера другого).
0:      from all lookup local
1000:   from all lookup main
## траффик на нужный хост/сеть на нужную таблицу
3000:   from all to нужный_хост lookup $extX_TABLE
## траффик с нужного хоста/сети -  на нужную таблицу
4000:   from нужный_хост  lookup $extX_TABLE
## c адресов маршрутизатора
5000:   from $EXT2_IP lookup $EXT2_TABLE
5050:   from $EXT1_IP lookup $EXT1_TABLE
10000:  from all lookup default
32766:  from all lookup main
32767:  from all lookup default

[root@test zz]# ip ro sh table $EXT1_TABLE
default via EXT1_GW_IP dev EXT1_IF
[root@test zz]# ip ro sh table $EXT2_TABLE
default via EXT2_GW_IP dev EXT2_IF

таблица майн содержит в себе маршруты к директли-коннектед сетям, это позволяет пакетам из локальной сети идти на внешние адреса маршрутизатора, и обратные пакеты с внешних адресов маршрутизатора пойдут в локальные сети а не будут форварднуты на шлюзы провайдера по  50хх  правилам

PS: Воспользуйтесь поиском. Тема объясняется по нескольку раз на неделю.
https://www.opennet.ru/openforum/vsluhforumID1/80422.html
https://www.opennet.ru/openforum/vsluhforumID10/3679.html#4
и другие ссылки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "policy routing в linux"

Сообщение от Sova (??) on 28-Май-08, 08:01

>[оверквотинг удален]
>>>по правилам ломает разбираться, что вы под ними _подразумевали_
>>
>>хочется вот чего - чтобы все соединения с $EXT ходили через другой
>>интерфейс (провайдера другого).
>PS: Воспользуйтесь поиском. Тема объясняется по нескольку раз на неделю.
>
>https://www.opennet.ru/openforum/vsluhforumID1/80422.html
>https://www.opennet.ru/openforum/vsluhforumID10/3679.html#4
>
>и другие ссылки.
угу, Вы наверное подумали, что я это делаю на роутере? На роутере у меня уже достаточно давно policy routing работает.
Мне же надо на локальной машине с 2мя интерфейсами, никаких роутеров! Делал в том числе и по доке, которую Вы привели, но no luck. Хочется понять где я мог накосячить.
Могу еще немного побольше написать чего я хочу: хочу на одной и той же машине с двумя сетевухами и провайдерами сделать второй MX на ip второго провайдера.
В этой ситуации пакеты будут не транзитными, а исходить от локальной машины и поэтому написанный роутинг им будет пофиг, если их не промаркировать через pf (имха). Или я не прав?
Поиском пользоваться умею, но ничего подходящего и _работающего_ не нашел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "policy routing в linux"

Сообщение от PavelR (??) on 28-Май-08, 09:12

ИЗВИНИТЕ, НО ЕСЛИ ВЫ НЕ УМЕЕТЕ ЧИТАТЬ ТО, ЧТО НАПИСАНО МАЛЕНЬКИМИ БУКВАМИ, БУДУ ПИСАТЬ БОЛЬШИМИ:
ТАБЛИЦА ПРАВИЛ МАРШРУТИЗАЦИИ:

0:      from all lookup local
1000:   from all lookup main
##  С АДРЕСОВ МАРШРУТИЗАТОРА
5000:   from $EXT2_IP lookup $EXT2_TABLE
5050:   from $EXT1_IP lookup $EXT1_TABLE
10000:  from all lookup default
32766:  from all lookup main
32767:  from all lookup default

если вы не умеете думать - Вам никто не поможет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "policy routing в linux"

Сообщение от Sova (??) on 29-Май-08, 11:01

>ИЗВИНИТЕ, НО ЕСЛИ ВЫ НЕ УМЕЕТЕ ЧИТАТЬ ТО, ЧТО НАПИСАНО МАЛЕНЬКИМИ БУКВАМИ,
>БУДУ ПИСАТЬ БОЛЬШИМИ:
умею читать и маленькими. Спасибо, помогло.
Позавчера, в первом тесте не помогло почему-то, хотя все правила были такие же как и сейчас.
Да и сегодня тоже с первого раза не завелось, а только после перезагрузки стало всё нормально. Странно, на винду смахивает :)
>если вы не умеете думать - Вам никто не поможет.
не надо так злиться.
читать умею, объяснения выше.
Спасибо тебе!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "policy routing в linux"

Сообщение от PavelR (??) on 29-Май-08, 11:27

Вы забыли про волшебную команду
ip ro flu ca

(ip route flush cache)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "policy routing в linux"

Сообщение от Sova (??) on 29-Май-08, 11:37

>Вы забыли про волшебную команду
>ip ro flu ca
>(ip route flush cache)
не, не забыл. Она тоже не помогла :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "policy routing в linux"
Сообщение от PavelR (??) on 27-Май-08, 14:27
ip ru sh посмотри, твое правило в конец добавилось и не работает.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "policy routing в linux"
	Сообщение от Sova (??) on 27-Май-08, 14:30
	>ip ru sh посмотри, твое правило в конец добавилось и не работает. ip ru sh 0: from all lookup 255 32765: from all fwmark 0x5 lookup me2ext 32766: from all lookup main 32767: from all lookup default
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "policy routing в linux"
	Сообщение от PavelR (??) on 27-Май-08, 15:45
	А теперь словами: "я хочу чтобы маршрутизация работала так: ..." по правилам ломает разбираться, что вы под ними _подразумевали_
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "policy routing в linux"
	Сообщение от Sova (??) on 27-Май-08, 15:50
	>А теперь словами: "я хочу чтобы маршрутизация работала так: ..." > >по правилам ломает разбираться, что вы под ними _подразумевали_ хочется вот чего - чтобы все соединения с $EXT ходили через другой интерфейс (провайдера другого).
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "policy routing в linux"
	Сообщение от PavelR (??) on 27-Май-08, 16:53
	>>А теперь словами: "я хочу чтобы маршрутизация работала так: ..." >> >>по правилам ломает разбираться, что вы под ними _подразумевали_ > >хочется вот чего - чтобы все соединения с $EXT ходили через другой >интерфейс (провайдера другого). 0: from all lookup local 1000: from all lookup main ## траффик на нужный хост/сеть на нужную таблицу 3000: from all to нужный_хост lookup $extX_TABLE ## траффик с нужного хоста/сети - на нужную таблицу 4000: from нужный_хост lookup $extX_TABLE ## c адресов маршрутизатора 5000: from $EXT2_IP lookup $EXT2_TABLE 5050: from $EXT1_IP lookup $EXT1_TABLE 10000: from all lookup default 32766: from all lookup main 32767: from all lookup default [root@test zz]# ip ro sh table $EXT1_TABLE default via EXT1_GW_IP dev EXT1_IF [root@test zz]# ip ro sh table $EXT2_TABLE default via EXT2_GW_IP dev EXT2_IF таблица майн содержит в себе маршруты к директли-коннектед сетям, это позволяет пакетам из локальной сети идти на внешние адреса маршрутизатора, и обратные пакеты с внешних адресов маршрутизатора пойдут в локальные сети а не будут форварднуты на шлюзы провайдера по 50хх правилам PS: Воспользуйтесь поиском. Тема объясняется по нескольку раз на неделю. https://www.opennet.ru/openforum/vsluhforumID1/80422.html https://www.opennet.ru/openforum/vsluhforumID10/3679.html#4 и другие ссылки.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "policy routing в linux"
	Сообщение от Sova (??) on 28-Май-08, 08:01
	>[оверквотинг удален] >>>по правилам ломает разбираться, что вы под ними _подразумевали_ >> >>хочется вот чего - чтобы все соединения с $EXT ходили через другой >>интерфейс (провайдера другого). >PS: Воспользуйтесь поиском. Тема объясняется по нескольку раз на неделю. > >https://www.opennet.ru/openforum/vsluhforumID1/80422.html >https://www.opennet.ru/openforum/vsluhforumID10/3679.html#4 > >и другие ссылки. угу, Вы наверное подумали, что я это делаю на роутере? На роутере у меня уже достаточно давно policy routing работает. Мне же надо на локальной машине с 2мя интерфейсами, никаких роутеров! Делал в том числе и по доке, которую Вы привели, но no luck. Хочется понять где я мог накосячить. Могу еще немного побольше написать чего я хочу: хочу на одной и той же машине с двумя сетевухами и провайдерами сделать второй MX на ip второго провайдера. В этой ситуации пакеты будут не транзитными, а исходить от локальной машины и поэтому написанный роутинг им будет пофиг, если их не промаркировать через pf (имха). Или я не прав? Поиском пользоваться умею, но ничего подходящего и _работающего_ не нашел.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "policy routing в linux"
	Сообщение от PavelR (??) on 28-Май-08, 09:12
	ИЗВИНИТЕ, НО ЕСЛИ ВЫ НЕ УМЕЕТЕ ЧИТАТЬ ТО, ЧТО НАПИСАНО МАЛЕНЬКИМИ БУКВАМИ, БУДУ ПИСАТЬ БОЛЬШИМИ: ТАБЛИЦА ПРАВИЛ МАРШРУТИЗАЦИИ: 0: from all lookup local 1000: from all lookup main ## С АДРЕСОВ МАРШРУТИЗАТОРА 5000: from $EXT2_IP lookup $EXT2_TABLE 5050: from $EXT1_IP lookup $EXT1_TABLE 10000: from all lookup default 32766: from all lookup main 32767: from all lookup default если вы не умеете думать - Вам никто не поможет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "policy routing в linux"
	Сообщение от Sova (??) on 29-Май-08, 11:01
	>ИЗВИНИТЕ, НО ЕСЛИ ВЫ НЕ УМЕЕТЕ ЧИТАТЬ ТО, ЧТО НАПИСАНО МАЛЕНЬКИМИ БУКВАМИ, >БУДУ ПИСАТЬ БОЛЬШИМИ: умею читать и маленькими. Спасибо, помогло. Позавчера, в первом тесте не помогло почему-то, хотя все правила были такие же как и сейчас. Да и сегодня тоже с первого раза не завелось, а только после перезагрузки стало всё нормально. Странно, на винду смахивает :) >если вы не умеете думать - Вам никто не поможет. не надо так злиться. читать умею, объяснения выше. Спасибо тебе!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "policy routing в linux"
	Сообщение от PavelR (??) on 29-Май-08, 11:27
	Вы забыли про волшебную команду ip ro flu ca (ip route flush cache)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "policy routing в linux"
	Сообщение от Sova (??) on 29-Май-08, 11:37
	>Вы забыли про волшебную команду >ip ro flu ca >(ip route flush cache) не, не забыл. Она тоже не помогла :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]