From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: <4alt@mail.ru> Date: Fri, 3 Feb 2006 21:04:46 +0200 From: Dank Bagryantsev <4alt@mail.ru> X-Priority: 3 (Normal) Message-ID: <139475610.20060203210446@lugaport.net> To: ALT Linux sysadmin discuss Subject: =?koi8-r?Q?Re=5B2=5D=3A_=5BSysadmins=5D_=E8=C9=D4=D2=D9=C5_=CE=C1=D3=D4?= =?koi8-r?Q?=D2=CF=CA=CB=C9_iptables?= In-Reply-To: <43E372BE.9050904@solin.spb.ru> References: <43DE57DE.4090100@lmsh.edu.ru> <43DFA4F5.9040802@lmsh.edu.ru> <43E123B5.605@lmsh.edu.ru> <43E13B29.3000307@solin.spb.ru> <43E28D0E.4040607@solin.spb.ru> <43E372BE.9050904@solin.spb.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 03 Feb 2006 19:05:05 -0000 Archived-At: List-Archive: Здравствуйте, Aleksey. Вы писали 3 февраля 2006 г., 17:11:58: >>>>>PS: См. на предмет >>>>>фильтрации по метке пакета. >>>> >>>> >>>>OUTPUT ROUTING срабатывает раньше iptables OUTPUT >>>> >>>>Транзитный трафик можно крутить как угодно, а от локального процесса >>>>нет :( >>> >>> И транзитный, и локальный трафик, требующие обработки в таблице >>>mangle (в цепочках PREROUTING и OUTPUT соответственно) заворачиваю в >>>одну цепочку. Где и помечаю. >>> >>> Работает, однако. :-) >> >> >> Я отстал от жизни? >> http://www.docum.org/docum.org/kptd/ >> Эта схема уже не действительна? Раньше не работало. Схема действительна и все работает только так и не иначе! 2Aleksey: Другими словами, если сказал routing, что этот ip-пакет от локального процесса выйдет через этот конкретный интерфейс, то никакими средствами iptables его через другой интерфейс не выпустишь. Если я не прав, то предъявите доказательства, pls. AA> Не знаю: я в такие дебри не лазил... Настраивал, с помощью AA> , других источников и метода AA> научного тыка. IMHO, наверное, о каком-то нюансе вы умалчиваете... Например, при динамической маршрутизации свои нюансы могут возникнуть... Да и следующая схема должна дать требуемые результаты: "повесить" локальный процесс на dummy0/определенный IP(или через vserver) + source-routing + SNAT/DNAT(если надо) -- С уважением, Dank