From: Afanasov Dmitry <ender@atrus.ru> To: sysadmins@lists.altlinux.org Subject: Re: [Sysadmins] Два канала в интернет Date: Thu, 2 Nov 2006 14:25:56 +0300 Message-ID: <20061102112556.GD10887@ender.nbrkomi.ru> (raw) In-Reply-To: <454886DF.9080705@mec.tgl.ru> [-- Attachment #1: Type: text/plain, Size: 2133 bytes --] On Wed, Nov 01, 2006 at 03:37:03PM +0400, Yuri V. Anikin wrote: > 32758: from 195.209.85.33 lookup MCN > 32759: from 85.112.43.86 lookup VGT > 32760: from 195.209.85.33 lookup MCN > 32761: from 85.112.43.86 lookup VGT зачем столько копий? ядрышко остановится на первом совпадении, а дальше не пойдет. > default via 195.209.85.34 dev eth1 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ откуда бы не пришёл пакет, ответ идет всегда через eth1. а следовательно, если у нас SNAT, то ответ пойдет с другого ip, а значит обрыв соединения > 5) Iptables настроен на NAT и forwarding 80 порта в DMZ-сеть 192.168.0.0 вот у меня именно этого оказалось мало, пришлось отдельно указывать netfilter, что если пакет пришёл с другого интерфейса, отвечать по нему же. для входящий подключений это выглядело так: iptables -t mangle -A INPUT -i eth1 -j CONNMARK --set-mark 0x200 // используется именно CONNMARK, а не MARK, так как после проглатывания // подключения ядром, весь sk_buf с MARK усрет, и для INPUT // сгененирируется новый пакет, с пустым MARK. // CONNMARK же ставиться на подкюлчение и хранится независимо iptables -t mangle -A OUTPUT -m connmark --mark 0x200 -j MARK --set-mark 0x200 // а вот здесь уже проставляется именно netfilter mark на освное инфы из // connection tracking // цепочка именно OUTPUT, так как в POSTROUTING вычесление маршрута и // исходящего eth уже будет произведено ip rule add pref 10000 fwmark 0x200 table PASSIVEETH ip route add table PASSIVEETH add default via <что там надо> для сквозных пакетов работать надо с цепочкой FORWARD: на -i eth1 ставить CONNMARK, на -i eth2 ставить условие -m connmark --mark > 6) Ядро 2.4.20-alt12-up должно и тут работать > В /var/log/kernel/warnings сыпятся сообщения файрвола о "марсианских > источниках". Соображения? а вот про это сообразить не могу. сообщаения о марсионцах валятся, если обратный маршрут (проверка включается/выключается через rc_filter) не совпадает с входящим интерфейсом. в принципе логично: пришло по eth1, ответ идет по eth0. типичный марсианин :) -- С уважением Афанасов Дмитрий [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
prev parent reply other threads:[~2006-11-02 11:25 UTC|newest] Thread overview: 14+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-11-01 11:37 Yuri V. Anikin 2006-11-02 3:13 ` Evgenii Terechkov 2006-11-02 10:41 ` Yuri V. Anikin 2006-11-02 10:51 ` Michael Shigorin 2006-11-02 11:04 ` Evgenii Terechkov 2006-11-02 11:25 ` Denis Ognewsky 2006-11-02 12:14 ` ender 2006-11-02 12:35 ` Denis Ognewsky 2006-11-02 7:59 ` Sergey 2006-11-02 10:51 ` Yuri V. Anikin 2006-11-03 7:34 ` Sergey 2006-11-02 10:52 ` Michael Shigorin 2006-11-03 7:45 ` Sergey 2006-11-02 11:25 ` Afanasov Dmitry [this message]
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20061102112556.GD10887@ender.nbrkomi.ru \ --to=ender@atrus.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git