форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"fwmark (из iproute) не работает "

Сообщение от sss (??) on 27-Окт-07, 13:17

уже выбился из сил - немогу понять в чем грабли, чувствую что где-то рядом но немогу ухватиться.... задача маркировать пакеты приходящие из инета через интерфейс eth0 на 201.211.50.1 для того чтобы они возвращались также через eth0, для этого сделал: #ip rule ls 0:      from all lookup local 1000:   from all fwmark 0x5 lookup eth0.out 32766:  from all lookup main 32767:  from all lookup default #ip route sh table eth0.out default via 197.54.13.113 dev eth0 #iptables -t mangle -nvxL PREROUTING pkts      bytes target     prot opt in     out     source               destination       33     2726 CONNMARK   all  --  eth0   *       0.0.0.0/0 201.211.50.1                   CONNMARK set 0x5 Пакеты маркируются, что видно из вывода iptables но обратно уходят через eth2 (второго провайдера). Мистика какая-то...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "fwmark (из iproute) не работает "

Сообщение от pavel_simple (ok) on 27-Окт-07, 13:59

смотри сюда http://www.opennet.me/openforum/vsluhforumID1/76819.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 14:47
	>смотри сюда >http://www.opennet.me/openforum/vsluhforumID1/76819.html я все это пробовал - не работает :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "fwmark (из iproute) не работает "
	Сообщение от pavel_simple (ok) on 27-Окт-07, 16:14
	>я все это пробовал - не работает :( что тут скажеш -- у всех работает -- только у тебя нет делай выводы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 16:36
	>>я все это пробовал - не работает :( > >что тут скажеш -- у всех работает -- только у тебя нет > >делай выводы выводы я уже сделал - где-то косяк у меня, но где не пойму :( вот и обратился на форум - может есть гуру в этих вопросах, помогут потестить какими нибудь командами... я просто не знаю в данный момент куда можно копнуть
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "fwmark (из iproute) не работает "
	Сообщение от pavel_simple (ok) on 27-Окт-07, 16:38
	по ссылке написано ip route add default via yyy.yyy.yyy.yyy dev eth2 src xxx.xxx.xxx.xxx table secondiface так что попробуй добавить src
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "fwmark (из iproute) не работает "
	Сообщение от pavel_simple (ok) on 27-Окт-07, 16:42
	и вообще -- зачем чего-то маркировать в данном случае -- если всё действительно так написано в посте то задача звучит так как сделать чтобы пакеты пришедшие через интерфейс возвращались через него же/ -- ну и соответственно решение уже расписано
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 16:50
	>и вообще -- зачем чего-то маркировать в данном случае -- >если всё действительно так написано в посте >то задача звучит так >как сделать чтобы пакеты пришедшие через интерфейс возвращались через него же/ >-- ну и соответственно решение уже расписано в том то и дело, что маркировать нужно ОБЯЗАТЕЛЬНО, объясню почему: 201.211.50.1 - видет из инета через обеих провайдеров, из этого следует, что запрос из инета может прийти как с eth0 так и с eth2 ! Если без маркирования - то тогда как iproute узнает на какой шлюз отсылать ответы? Ведь iproute работает с понимает конструкцию src ip - тоесть с какого айпи пришел, но не с какого интерфейса... Поправьте меня если я не прав. p.s. вообще-то у меня ip route нормально работает с двумя провайдерами, проблема только с fwmark+iptables
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "fwmark (из iproute) не работает "
	Сообщение от pavel_simple (ok) on 27-Окт-07, 16:53
	своя AS или я что-то недопонимаю -- как у обоих провов один и тот-же ip
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 16:57
	>своя AS или я что-то недопонимаю -- как у обоих провов один >и тот-же ip Да - вы правы - своя AS.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "fwmark (из iproute) не работает "
	Сообщение от pavel_simple (ok) on 27-Окт-07, 17:23
	если я правильно понимаю ... нужно удалить default route из таблицы main добавить 2 правила в mangle + 2 правила ip route и соответственно по роуту в 2 таблицы думаю понятно а src все равно поставь
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 17:30
	>нужно удалить default route из таблицы main если я удаляю default route из таблицы main тогда не работают сеть наружу, тоесть со шлюза я не могу пингануть ниодин хост в инете :( >добавить 2 правила в mangle + 2 правила ip route и соответственно >по роуту в 2 таблицы >думаю понятно что-то не очень понял какие два правила ip route? можно уточнить? p.s. кстати! только-что нарыл, что работае mark но только для хостов из локалки - роутинг управляется через fwmark! непойму пока почему только для локалки - а для хостов из инета не работает...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 16:52
	>по ссылке написано >ip route add default via yyy.yyy.yyy.yyy dev eth2 src xxx.xxx.xxx.xxx table secondiface > >так что попробуй добавить src и кстати что я тут погу написать в "src xxx.xxx.xxx.xxx" ? xxx - это айпи адрес eth0 которая смотрит на первого провайдера?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 17:07
	а может косяк в системе? у меня ядро 2.6.9-3 iptables 1.3.1 iproute 2.6.9-3
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 17:08
	>а может косяк в системе? > >у меня ядро 2.6.9-3 >iptables 1.3.1 >iproute 2.6.9-3 сорри, ядро 2.6.19
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 27-Окт-07, 17:45
	ЗАААААРАААААБООООТТААААЛООООООООООООООООООООООООО!!!!!!!! Держите меня трое!!! как только все переварю - отпишусь!!!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "fwmark (из iproute) не работает "
	Сообщение от sss (??) on 28-Окт-07, 18:08
	Проблема была в том, что нужно было еще дополнительно использовать iptables -t mangle -A OUTPUT -s 201.211.50.1 -j CONNMARK --restore-mark :)))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]