Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente endebian 6?
Pues sigo igual. Tengo a la gente de las empresas contenta En fin, reinstale el sistema con Ubuntu Server 12.04.1 que lleva el nucleo 3.2 e iptables v1.4.12 y sigue pasando lo mismo. Solo me queda salirme del sistema y compilar el ultimo nucleo e iptables por separado aunque esto lo querría como ultima opcion ya que quiero disponer de los parches de seguridad de la distribución. ¿Nadie sabe que puede estar pasando? - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - El 10/10/12 02:36, Santiago Liz escribió: > Tengo exactamente el mismo problema, con la misma versión de kernel e > iptables y una configuración similar. > Algo que observo, es que al hacer un tcpdump en alguna de las placas > externas, veo algunos paquetes (muy pocos en comparación con el > tráfico total) con ip de la otra placa externa. Es decir que el NAT se > hace deacuerdo a lo previsto con el marcado, pero termina saliendo por > la otra interface. > ¿Alguna pista de lo que puede estar pasando? > > Saludos, > Santiago.- > > > El 06/09/12 09:50, Juan Antonio escribió: >> El 06/09/12 09:35, Francisco J. Bejarano escribió: >>> El 04/09/12 23:19, Juan Antonio escribió: On 05/09/12 16:13, Francisco J. Bejarano wrote: > Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= > MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 > DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP > SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 > Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= > MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 > DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP > SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 > Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= > MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 > DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP > SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 > Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= > MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 > DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP > SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que tiene configuradas la pasarela? fíjate que no se especifica ningún interfaz en OUT = y de hecho ese tráfico no tiene que llegar a ninguna tabla porque es local ¿tienes tráfico en el log marcado que no sea para el propio router? ¿por dónde sale el tráfico que no sale por donde debería? Un saludo. >>> Hola, el trafico marcado lo logeo en mangle, prerouting despues de >>> marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado >>> la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que >>> corresponda de las adsl. No es para el propio router. >>> >>> El trafico, en la tabla main tiene un default route a TB2 (debido a >>> ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no >>> marcado. >>> >>> >>> >> >> ¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico >> forwarded debería verse el dst original y la mac del interfaz del router. > Te pongo otro trozo de log de una ip de la red interna 2 que va hacia > afuera a una ip de internet (forward). Como ves tampoco tiene interfaz > out. Asi descarto que fuera mi direccion al firewall ya que estoy > conectado por ssh y mi trafico si iria al propio firewall. > > Sep 5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT= > MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 > DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP > SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2 > Sep 5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT= > MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 > DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP > SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2 > > > >> >> Si el main default es el mismo que el default de TB2 ¿para que añades >> reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2 >> diferentes a main? Me parece una configuración muy compleja que >> seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de >> iproute, asi podrías depurar mucho mejor. > > Tengo 5 redes y hay que enviar el trafico dependiendo del origen de la > red y dentro del origen de la red dependiendo del puerto del destino. Si > es algo complejo pero necesario deb
Re: Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente endebian 6?
Tengo exactamente el mismo problema, con la misma versión de kernel e iptables y una configuración similar. Algo que observo, es que al hacer un tcpdump en alguna de las placas externas, veo algunos paquetes (muy pocos en comparación con el tráfico total) con ip de la otra placa externa. Es decir que el NAT se hace deacuerdo a lo previsto con el marcado, pero termina saliendo por la otra interface. ¿Alguna pista de lo que puede estar pasando? Saludos, Santiago.- El 06/09/12 09:50, Juan Antonio escribió: > El 06/09/12 09:35, Francisco J. Bejarano escribió: >> El 04/09/12 23:19, Juan Antonio escribió: >>> On 05/09/12 16:13, Francisco J. Bejarano wrote: Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 >>> mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que >>> tiene configuradas la pasarela? fíjate que no se especifica ningún >>> interfaz en OUT = y de hecho ese tráfico no tiene que llegar a >>> ninguna tabla porque es local ¿tienes tráfico en el log marcado que no >>> sea para el propio router? ¿por dónde sale el tráfico que no sale por >>> donde debería? >>> >>> Un saludo. >> Hola, el trafico marcado lo logeo en mangle, prerouting despues de >> marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado >> la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que >> corresponda de las adsl. No es para el propio router. >> >> El trafico, en la tabla main tiene un default route a TB2 (debido a >> ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no >> marcado. >> >> >> > > ¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico > forwarded debería verse el dst original y la mac del interfaz del router. Te pongo otro trozo de log de una ip de la red interna 2 que va hacia afuera a una ip de internet (forward). Como ves tampoco tiene interfaz out. Asi descarto que fuera mi direccion al firewall ya que estoy conectado por ssh y mi trafico si iria al propio firewall. Sep 5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2 > > Si el main default es el mismo que el default de TB2 ¿para que añades > reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2 > diferentes a main? Me parece una configuración muy compleja que > seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de > iproute, asi podrías depurar mucho mejor. Tengo 5 redes y hay que enviar el trafico dependiendo del origen de la red y dentro del origen de la red dependiendo del puerto del destino. Si es algo complejo pero necesario debido a ciertas validaciones de seguridad de ips en servidores de destino que dependen de donde salga el trafico. Las 2 redes que pongo son de 2 empresas diferentes que comparten la misma salida TB3 (adsls balanceados con ancho de banda elevado) pero que para ciertos traficos, cada empresa ha de salir por su propio adsl con ip fija y solo cuando usa determinados puertos, si no debería usar la TB3, peero, por defecto global se usa una de las TB con ip fija... Yo no pongo las reglas pero he de ceñirme a ellas y esto estaba funcionando correctamente en debian 4 y no creo que haya cambiado mucho iptables a nivel funcionamiento general, o eso espero. De hecho como esta echo debería funcionar a no ser que algo del marcado y prioridades este haciendolo yo mal. > Un saludo. > > -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e
[SOLUCIONADO]Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente endebian 6?
Bueno, al final, conseguí arreglar el problema Monte un laboratorio de pruebas de 7 maquinas virtuales simulando toda mi red y reproducí el error tanto con iptables en diferentes versiones y con diferentes núcleos y en diferentes sistemas (debian, ubuntu y centos) con lo que, obviamente era un error de configuración. Al final dejé ubuntu server 12.04.1 64bits totalmente actualizado en el firewall real. Lo que hice fue simplificar las reglas de marcado así iptables -t mangle -A PREROUTING -p tcp --dport 22 -s REDORIGEN -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -p tcp --dport 22 -s ! REDORIGEN -j MARK --set-mark 1 Además desactive rp_filter en todas las interfaces implicadas echo '0' > /proc/sys/net/ipv4/conf/default/rp_filter echo '0' > /proc/sys/net/ipv4/conf/eth0/rp_filter echo '0' > /proc/sys/net/ipv4/conf/eth1/rp_filter echo '0' > /proc/sys/net/ipv4/conf/eth2/rp_filter echo '0' > /proc/sys/net/ipv4/conf/eth3/rp_filter echo '0' > /proc/sys/net/ipv4/conf/eth4/rp_filter echo '0' > /proc/sys/net/ipv4/conf/eth5/rp_filter Y además cambiar el masquerading de la tabla nat por source-nat iptables -t nat -A POSTROUTING -o eth3 -j SNAT --to-source 10.3.3.1 iptables -t nat -A POSTROUTING -o eth4 -j SNAT --to-source 10.4.4.1 Y por ahora todo correcto. En Debian seguramente funcionará igual y en CentOS también. Saludos - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - El 10/10/12 09:29, Francisco J. Bejarano escribió: > Pues sigo igual. Tengo a la gente de las empresas contenta En fin, > reinstale el sistema con Ubuntu Server 12.04.1 que lleva el nucleo 3.2 e > iptables v1.4.12 y sigue pasando lo mismo. > > Solo me queda salirme del sistema y compilar el ultimo nucleo e iptables > por separado aunque esto lo querría como ultima opcion ya que quiero > disponer de los parches de seguridad de la distribución. > > ¿Nadie sabe que puede estar pasando? > > - > Francisco J. Bejarano > Responsable de Sistemas > Dpt. Sistemas e Infraestructuras > Open Knowledge Network S.L. > francisco.bejar...@openknowledgenetwork.com > Tel. (+34) 902 534 004 > Fax. (+34) 917 266 476 > - > > El 10/10/12 02:36, Santiago Liz escribió: >> Tengo exactamente el mismo problema, con la misma versión de kernel e >> iptables y una configuración similar. >> Algo que observo, es que al hacer un tcpdump en alguna de las placas >> externas, veo algunos paquetes (muy pocos en comparación con el >> tráfico total) con ip de la otra placa externa. Es decir que el NAT se >> hace deacuerdo a lo previsto con el marcado, pero termina saliendo por >> la otra interface. >> ¿Alguna pista de lo que puede estar pasando? >> >> Saludos, >> Santiago.- >> >> >> El 06/09/12 09:50, Juan Antonio escribió: >>> El 06/09/12 09:35, Francisco J. Bejarano escribió: El 04/09/12 23:19, Juan Antonio escribió: > On 05/09/12 16:13, Francisco J. Bejarano wrote: >> Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= >> MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 >> DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP >> SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 >> Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= >> MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 >> DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP >> SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 >> Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= >> MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 >> DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP >> SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 >> Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= >> MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 >> DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP >> SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 > mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que > tiene configuradas la pasarela? fíjate que no se especifica ningún > interfaz en OUT = y de hecho ese tráfico no tiene que llegar a > ninguna tabla porque es local ¿tienes tráfico en el log marcado que no > sea para el propio router? ¿por dónde sale el tráfico que no sale por > donde debería? > > Un saludo. Hola, el trafico marcado lo logeo en mangle, prerouting despues de marcarlo con 1 o 2. Por eso no tiene out, porque todavia n
Re: [SOLUCIONADO]Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente endebian 6?
> Bueno, al final, conseguí arreglar el problema > > Monte un laboratorio de pruebas de 7 maquinas virtuales simulando toda > mi red y reproducí el error tanto con iptables en diferentes versiones y > con diferentes núcleos y en diferentes sistemas (debian, ubuntu y > centos) con lo que, obviamente era un error de configuración. > > Al final dejé ubuntu server 12.04.1 64bits totalmente actualizado en el > firewall real. > > Lo que hice fue simplificar las reglas de marcado así > > iptables -t mangle -A PREROUTING -p tcp --dport 22 -s REDORIGEN -j MARK > --set-mark 2 > iptables -t mangle -A PREROUTING -p tcp --dport 22 -s ! REDORIGEN -j > MARK --set-mark 1 > > Además desactive rp_filter en todas las interfaces implicadas > > echo '0' > /proc/sys/net/ipv4/conf/default/rp_filter > echo '0' > /proc/sys/net/ipv4/conf/eth0/rp_filter > echo '0' > /proc/sys/net/ipv4/conf/eth1/rp_filter > echo '0' > /proc/sys/net/ipv4/conf/eth2/rp_filter > echo '0' > /proc/sys/net/ipv4/conf/eth3/rp_filter > echo '0' > /proc/sys/net/ipv4/conf/eth4/rp_filter > echo '0' > /proc/sys/net/ipv4/conf/eth5/rp_filter > > Y además cambiar el masquerading de la tabla nat por source-nat > > iptables -t nat -A POSTROUTING -o eth3 -j SNAT --to-source 10.3.3.1 > iptables -t nat -A POSTROUTING -o eth4 -j SNAT --to-source 10.4.4.1 > > Y por ahora todo correcto. En Debian seguramente funcionará igual y en > CentOS también. > > Saludos > > > El 10/10/12 09:29, Francisco J. Bejarano escribió: >> Pues sigo igual. Tengo a la gente de las empresas contenta En fin, >> reinstale el sistema con Ubuntu Server 12.04.1 que lleva el nucleo 3.2 e >> iptables v1.4.12 y sigue pasando lo mismo. >> >> Solo me queda salirme del sistema y compilar el ultimo nucleo e iptables >> por separado aunque esto lo querría como ultima opcion ya que quiero >> disponer de los parches de seguridad de la distribución. >> >> ¿Nadie sabe que puede estar pasando? >> >> - >> Francisco J. Bejarano >> Responsable de Sistemas >> Dpt. Sistemas e Infraestructuras >> Open Knowledge Network S.L. >> francisco.bejar...@openknowledgenetwork.com >> Tel. (+34) 902 534 004 >> Fax. (+34) 917 266 476 >> - >> >> El 10/10/12 02:36, Santiago Liz escribió: >>> Tengo exactamente el mismo problema, con la misma versión de kernel e >>> iptables y una configuración similar. >>> Algo que observo, es que al hacer un tcpdump en alguna de las placas >>> externas, veo algunos paquetes (muy pocos en comparación con el >>> tráfico total) con ip de la otra placa externa. Es decir que el NAT se >>> hace deacuerdo a lo previsto con el marcado, pero termina saliendo por >>> la otra interface. >>> ¿Alguna pista de lo que puede estar pasando? >>> >>> Saludos, >>> Santiago.- >>> >>> >>> El 06/09/12 09:50, Juan Antonio escribió: El 06/09/12 09:35, Francisco J. Bejarano escribió: > El 04/09/12 23:19, Juan Antonio escribió: >> On 05/09/12 16:13, Francisco J. Bejarano wrote: >>> Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= >>> MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 >>> DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP >>> SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 >>> Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= >>> MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 >>> DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP >>> SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 >>> Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= >>> MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 >>> DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP >>> SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 >>> Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= >>> MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 >>> DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP >>> SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 >> mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que >> tiene configuradas la pasarela? fíjate que no se especifica ningún >> interfaz en OUT = y de hecho ese tráfico no tiene que llegar a >> ninguna tabla porque es local ¿tienes tráfico en el log marcado que no >> sea para el propio router? ¿por dónde sale el tráfico que no sale por >> donde debería? >> >> Un saludo. > Hola, el trafico marcado lo logeo en mangle, prerouting despues de > marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado > la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que > corresponda de las adsl. No es para el propio router. > > El trafico, en la tabla m