From: Aleksey Avdeev <solo@solin.spb.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Хитрые настройки iptables
Date: Wed, 15 Feb 2006 21:17:51 +0300
Message-ID: <43F3704F.8040003@solin.spb.ru> (raw)
In-Reply-To: <43E63602.1010802@solin.spb.ru>
Aleksey Avdeev пишет:
> Dank Bagryantsev пишет:
>
>>Здравствуйте, Aleksey.
>>
>
> ...
>
>>
>>Схема действительна и все работает только так и не иначе!
>>2Aleksey: Другими словами, если сказал routing, что этот ip-пакет от
>>локального процесса выйдет через этот конкретный интерфейс, то
>>никакими средствами iptables его через другой интерфейс не выпустишь.
>>Если я не прав, то предъявите доказательства, pls.
>
>
> Iptables отправкой пакета через интерфейс и не управляет. Там только
> MARK делается... И в какой интерфейс его отправить -- уже другие
> механизмы занимаются.
>
>
>>AA> Не знаю: я в такие дебри не лазил... Настраивал, с помощью
>>AA> <http://www.nixp.ru/articles/iproute>, других источников и метода
>>AA> научного тыка.
>>
>>IMHO, наверное, о каком-то нюансе вы умалчиваете...
>
>
> Вполне возможно. О подробностях смогу сообщить недели через 2 (когда
> из командировка вернусь).
Вернулся. Готов продолжить беседу.
>
>
>>Например, при динамической маршрутизации свои нюансы могут возникнуть...
>
>
> У меня -- только статическая.
>
>
>>Да и следующая схема должна дать требуемые результаты:
>>
>>"повесить" локальный процесс на dummy0/определенный IP(или через
>>vserver) + source-routing + SNAT/DNAT(если надо)
>
>
> Я с локального хоста по этой схеме по ftp ходил, пока туннель со
> стороны шлюза непорушил. (Пробрасовал через туннель ftp трафик от своего
> хоста и тестовой подсети, к нему подключённой.)
Туннель -- починен.
Как у меня сделано (etcnet-0.8.0-alt1 +
etcnet-defaults-server-0.8.0-alt1):
/etc/net/ifaces/
/etc/net/ifaces/lan -- локальная сетка (ничего интересного)
/etc/net/ifaces/mylan -- тестовый сегмент (тоже, ничего интересного)
/etc/net/ifaces/gre_tun -- туннель к ftp шлюзу (отличен от шлюза по
умолчанию).
/etc/net/ifaces/gre_tun/{options,ipv4address} -- обычные настройки
туннеля (из примеров брал)
/etc/net/ifaces/gre_tun/ipv4rule -- помеченное, маршрутизируем отдельной
таблицей (ftp.out):
====
fwmark 1 table ftp.out
====
/etc/net/ifaces/gre_tun/ipv4route -- маршрут по умолчанию для ftp.out:
====
default via <ip шлюза в туннеле> dev gre_gaspar table ftp.out
====
/etc/net/ifaces/gre_gaspar/fw/iptables/filter -- всё пропускать
/etc/net/ifaces/gre_gaspar/fw/iptables/mangle/{OUTPUT,PREROUTING} --
идентичны:
====
-p tcp -m tcp -j tunmark
====
/etc/net/ifaces/gre_gaspar/fw/iptables/mangle/tunmark -- метим пакеты:
====
-d 127.0.0.0/8 -j RETURN
-d <lan ip> -j RETURN
-p tcp -m multiport --destination-port 20,21,873 -j MARK --set-mark 0x1
====
/etc/net/ifaces/gre_gaspar/fw/iptables/nat/POSTROUTING -- натим всё, что
идёт через данный интерфейс:
====
-o $NAME -j SNAT --to-source <ip хоста в туннеле>
====
iproute:
/etc/iproute2/rt_tables:
====
#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
201 ftp.out
====
При такой схеме весь ftp/rsync трафик из тестовой сетки (mylan) и
локального хоста (к которому она подсоединена) -- уходит не на
умолчальный шлюз, а туда -- куда мне нужно.
--
С уважением. Алексей.
next prev parent reply other threads:[~2006-02-15 18:17 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-01-30 18:15 Denis Kirienko
2006-01-31 5:51 ` Alexander Volkov
2006-01-31 17:57 ` Denis Kirienko
2006-02-01 6:26 ` Vladimir V. Kamarzin
2006-02-01 21:10 ` Denis Kirienko
2006-02-01 22:50 ` Aleksey Avdeev
2006-02-02 22:01 ` Maxim Tyurin
2006-02-02 22:51 ` Aleksey Avdeev
2006-02-03 14:49 ` Maxim Tyurin
2006-02-03 15:11 ` Aleksey Avdeev
2006-02-03 19:04 ` Re[2]: " Dank Bagryantsev
2006-02-05 17:29 ` Aleksey Avdeev
2006-02-15 18:17 ` Aleksey Avdeev [this message]
2006-02-02 6:44 ` Vladimir V. Kamarzin
2006-02-02 13:33 ` Ivan Fedorov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=43F3704F.8040003@solin.spb.ru \
--to=solo@solin.spb.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git