From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <43E28D0E.4040607@solin.spb.ru> Date: Fri, 03 Feb 2006 01:51:58 +0300 From: Aleksey Avdeev User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050815) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux sysadmin discuss Subject: Re: [Sysadmins] =?koi8-r?B?6MnU0tnFIM7B09TSz8rLySBpcHRhYmxlcw==?= References: <43DE57DE.4090100@lmsh.edu.ru> <43DFA4F5.9040802@lmsh.edu.ru> <43E123B5.605@lmsh.edu.ru> <43E13B29.3000307@solin.spb.ru> In-Reply-To: Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-Virus-Scanned: amavisd-new at dom.solin.spb.ru X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 02 Feb 2006 22:52:22 -0000 Archived-At: List-Archive: Maxim Tyurin пишет: > Aleksey Avdeev writes: > > >>Denis Kirienko пишет: >> >>>Vladimir V. Kamarzin пишет: >>> >> >>... >> >>>Непонятно, как разрулить через ip rule. В ip rule нельзя задать в >>>качестве критерия номер порта. И судя по iptables tutorial пометить >>>исходящий пакет тоже нельзя: routing decision принимается до попадания >>>пакета в mangle. >> >> Можно: когда срабатывает ip rule -- пакет ещё в ядре. (У меня -- >>работает.) > > > Точно работает? > Для трафика *от локального процесса*? Точно. :-) > >>PS: См. на предмет >>фильтрации по метке пакета. > > > OUTPUT ROUTING срабатывает раньше iptables OUTPUT > > Транзитный трафик можно крутить как угодно, а от локального процесса > нет :( И транзитный, и локальный трафик, требующие обработки в таблице mangle (в цепочках PREROUTING и OUTPUT соответственно) заворачиваю в одну цепочку. Где и помечаю. Работает, однако. :-) -- С уважением. Алексей.