info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
iptables rt_tables fwmark
2 views
Skip to first unread message
Lars Uhlmann
Apr 21, 2020, 8:24:15 AM4/21/20
to
gegeben:
- Vanilla Debian "buster"
- Router mit zwei ISP-Uplinks
Um eingehende Verbindungen unabhängig von der Default-Route zu behandeln,
sind zwei Tabellen angelegt (ich nehme exemplarisch nur eine heraus):
+-[grep telekom /etc/iproute2/rt_tables]
| 201 telekom
+-----
und entsprechend befüllt:
+-[ip route show table telekom]
| default via 192.168.201.1 dev enp2s0
+-----
Dazu die Regel, daß für mit "201" markierte Pakete diese Tabelle
gilt:
+-[ip rule ls]
| 0: from all lookup local
| 32765: from all fwmark 0xc9 lookup telekom
| 32766: from all lookup main
| 32767: from all lookup default
+-----
Ein Test zeigt, daß alles bis hierher funktioniert:
+-[ip route get 1.1.1.1 mark 0xc9]
| 1.1.1.1 via 192.168.201.1 dev enp2s0 table telekom src 192.168.201.2 mark 0xc9 uid 0
| cache
+-----
Jetzt markiere ich die gewünschten eingehenden Protokolle am Interface:
| iptables -t mangle -A PREROUTING -i enp2s0 -p tcp --dport $PORT1 -j MARK --set-mark 201
| iptables -t mangle -A PREROUTING -i enp2s0 -p udp --dport $PORT2 -j MARK --set-mark 201
Trotzdem verlassen die Antworten den Router über das falsche Interface.
Wenn ich die Pakete in der INPUT-Table logge, ist die Markierung
vorhanden. Reverse Path filtering ist deaktiviert. Ich stehe gerade auf
dem Schlauch.
Danke für die Hilfe
Lars
- Vanilla Debian "buster"
- Router mit zwei ISP-Uplinks
Um eingehende Verbindungen unabhängig von der Default-Route zu behandeln,
sind zwei Tabellen angelegt (ich nehme exemplarisch nur eine heraus):
+-[grep telekom /etc/iproute2/rt_tables]
| 201 telekom
+-----
und entsprechend befüllt:
+-[ip route show table telekom]
| default via 192.168.201.1 dev enp2s0
+-----
Dazu die Regel, daß für mit "201" markierte Pakete diese Tabelle
gilt:
+-[ip rule ls]
| 0: from all lookup local
| 32765: from all fwmark 0xc9 lookup telekom
| 32766: from all lookup main
| 32767: from all lookup default
+-----
Ein Test zeigt, daß alles bis hierher funktioniert:
+-[ip route get 1.1.1.1 mark 0xc9]
| 1.1.1.1 via 192.168.201.1 dev enp2s0 table telekom src 192.168.201.2 mark 0xc9 uid 0
| cache
+-----
Jetzt markiere ich die gewünschten eingehenden Protokolle am Interface:
| iptables -t mangle -A PREROUTING -i enp2s0 -p tcp --dport $PORT1 -j MARK --set-mark 201
| iptables -t mangle -A PREROUTING -i enp2s0 -p udp --dport $PORT2 -j MARK --set-mark 201
Trotzdem verlassen die Antworten den Router über das falsche Interface.
Wenn ich die Pakete in der INPUT-Table logge, ist die Markierung
vorhanden. Reverse Path filtering ist deaktiviert. Ich stehe gerade auf
dem Schlauch.
Danke für die Hilfe
Lars
0 new messages