Nicolas, Ca m’intéresse ton explication, mais j’ai pas tout compris. Tu pourrais reformuler STP ?
Merci > Le 18 nov. 2015 à 14:41, Nicolas LEDUC <nico...@behost.fr> a écrit : > > > > Salut Cédric, > > Attention, le mangle utilise des règles en "préférence". > > Il faut ton /32 en règle 0 (src) et 1 (dst) en prerouting, action > no-mark, et surtout ne coche pas action passtrought et deux dernière > prerouting du ton /24 plus loin (en 2 et 3). > > Nicolas > > Le 2015-11-18 14:20, Oceanet - Cédric BASSAGET a écrit : > >> Bonjour, >> >> J'ai une colle à soumettre aux utilisateurs de mikrotik (rb750g ici, testé >> en 6.31, 6.33 et 6.34rc5). >> >> je cherche a faire passer tout le ftp sortant de mon LAN via un lien dédié. >> >> J'ai donc créé une règle qui marque les paquets dans la table mangle : >> # /ip firewall mangle >> # add action=mark-routing chain=prerouting comment="mark ftp" >> connection-type=ftp new-routing-mark=ftp_WAN2 >> >> et dans ma table de routage, je route via le lien les connections marqués >> (la route par défaut n'apparait pas ici, elle est montée en dynamique via un >> PPPoE, mais elle est bien présente) : >> # /ip route >> # add distance=1 gateway=<ip gw> routing-mark=ftp_WAN2 >> >> Problème : ma règle de mangle ne match jamais, et pourtant dans le >> connection tracking, je vois bien que la connexion qui est en type="ftp" : >> >> # /ip firewall connection print detail >> Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, >> F - fasttrack, s - srcnat, d - dstnat >> ... >> 3 C s protocol=tcp src-address=192.168.0.200:52787 dst-address=<ftp ip>:21 >> reply-src-address=<ftp ip>3:21 reply-dst-address=<WAN1_IP>:52787 >> tcp-state=established connection-type="ftp" >> timeout=23h49m7s p2p=none orig-packets=5 orig-bytes=290 >> orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 >> repl-fasttrack-packets=0 repl-fasttrack-bytes=0 >> orig-rate=0bps repl-rate=0bps >> >> J'ai essayé >> >> Est-ce que quelqu'un aurait déjà rencontré le problème et / ou aurait une >> idée du pourquoi ? J'ai envoyé un mail au support mais pas encore de réponse. >> >> Merci pour vos retours ! >> Cédric >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [1] > > -- > > Links: > ------ > [1] http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
