On 10/23/14 19:51, Adam Osuchowski wrote:
Grzegorz Sójka wrote:
Próbuje ustawić różny routing w zależności od portu docelowego. Z tego co
pamiętam to się robiło tak:
iptables -t mangle -A POSTROUTING (coś tam) -j ROUTE --gw <ip>
tylko zdaje się, że w iptables nie ma teraz targetu ROUTE. Da się jakoś
dodać ewentualnie jak to inaczej zrobić?
Targetem MARK albo CONNMARK zaznaczasz odpowiednio pakiety albo flowy,
a potem w ip rule za pomocą selektora fwmark wybierasz odpowiednią tablicę
routingu.
Nie do końca mi idzie więc może od początku. Mam 2 maszynki (powiedzmy A
i B) z podłączeniem do netu (IP: ExtA, ExtB) w różnych lokalizacjach
połączone tunelem szyfrowanym (IP: IntA, IntB). Potrzebuje przeroutować
trafic wchodzący na host A port (powiedzmy) 997 na host B poprzez tunel.
Zrobiłem tak:
Na hoście A ustawiony DNAT tak, że to co wchodzi na ExtA:997 jest
przekierowane tunelem na IntB:997. (tu wszystko jest ok).
Na hoście B dodatkowa tabela routing "tunel" a w niej default gw IntA oraz:
ip rule add from IntB table tunel
No i generalnie działa (co dowodzi, że na hoście A iptables jest
ustawione jak trzeba). Nie bardzo mi się to jednak podoba bo cały trafic
z IntB jest routowany przez hosta A. Wolał bym żeby dotyczyło to tylko
ruchu na porcie 997. Próbowałem tak:
iptables -A PREROUTING -t mangle -p tcp --dport 997 -j MARK --set-mark 1
(i to samo dla OUTPUT, POSTROUTING, INPUT z odpowiednimi sport/dport)
ip rule add fwmark 1 table tunel
i q-pa. Jak ktoś wie jak to ogarnąć to będę wdzięczny za info.
_______________________________________________
pld-users-pl mailing list
pld-users-pl@lists.pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
