Re[2]: przekierowanie p2p
On Sat, 13 Mar 2004, Arkadiusz Chomicki wrote: > On Sat, 13 Mar 2004, Arkadiusz Chomicki wrote: > > > On Sat, 13 Mar 2004, Łukasz Woźniak wrote: > > > > > > > > 13 marca 2004, 00:26:08, Arkadiusz Chomicki napisal: > > > > > > AC> On Fri, 12 Mar 2004, Slawomir Kawala wrote: > > > > > > >> On Fri, 12 Mar 2004 23:09:52 +0100 (CET) > > > >> Arkadiusz Chomicki <[EMAIL PROTECTED]> wrote: > > > >> > > > >> > moze macie jakies lepsze pomysly zeby sam ruch p2p przekieroiwac? > > > >> > > > >> Ja kombinowalem z iproute2, ale cos nie wychodzi... pewnie o czyms > > > >> zapomnialem... no wiec jedno lacze to neo, drugie DSL > > > >> > > > AC> zrobilem tak na poczatek > > > > > > AC> $iptables -A PREROUTING -i eth0 -t mangle -p tcp -m ipp2p --ipp2p -j MARK > > > --set-mark 0x80 > > > AC> $iptables -A PREROUTING -i eth1 -t mangle -p tcp -m ipp2p --ipp2p -j MARK > > > --set-mark 0x81 > > > > > > ipp2p działa tak, że wykrywa pakiety należące do wymiany danych p2p na > > > podstawie tekstu w tym pakiecie. Ale wykrywa pojedynczy pakiet. A w > > > trakcie połączenia taki pakiet jest jeden albo kilka. A pozostałe > > > wyglądają normalnie. > > > > > > aby zlapac caly ruch p2p nalezy zmarkowac cala sesje > > > $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark > > > $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 > > > $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark > > > > reasumując > > zrobilem tak: > > $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark > > $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 > > $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark > > > > $IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to 1.2.3.4 > > $IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to 5.6.7.8 > > > > ip ru add fwmark 3 table 101 > > > > ruch jest przekierowywany do tabeli 101 (eth1) > > ale niestety niewiem dlaczego niechce byc NAT'owany > > > > tabele są w pozrądku wg mnie bo jesli dodam > > ip ru add from 192.168.0.0/16 table 101 to ruch jest przekierowany do > > tabeli 101 i NAT'owany poprawnie > > > > co jeszcze jest nie tak? > > > > tabela mangle > > > > Chain PREROUTING (policy ACCEPT 2150 packets, 731K bytes) > > pkts bytes target prot opt in out source destination > > 2126 728K CONNMARK tcp -- * * 0.0.0.0/00.0.0.0/0 > > CONNMARK restore > >16 1600 MARK tcp -- * * 0.0.0.0/00.0.0.0/0 > > ipp2p v0.5a --ipp2p MARK set 0x3 > > 142 7600 CONNMARK tcp -- * * 0.0.0.0/00.0.0.0/0 > > MARK match 0x3 CONNMARK save > > > > tabela nat > > > > Chain POSTROUTING (policy ACCEPT 4 packets, 301 bytes) > > pkts bytes target prot opt in out source destination > > 0 0 SNAT all -- * eth1192.168.0.0/16 0.0.0.0/0 > > to:80.53.220.74 > > 128 6224 SNAT all -- * eth2192.168.0.0/16 0.0.0.0/0 > > to:213.17.252.78 > > > > > czy ktos wie dlaczego nei mozna przekierowac ruchu na inne lacze > uzywajac fwmark w iproute2? > problem jest tylko wtedy gdy przekierowuje do tabeli ktora z ip nie default. jesli przekieruej do tabeli ktora ma ip publiczne, ktre z kolei jest w main jako default do dziala poprawnie NAT Pozdrawiam ChomAr -- +-=| Arkadiusz Chomicki |=-+ 84-120 Władysławowo GG#: 420515 woj. pomorskie e-mail:chomar(at)wla(dot)pl Registered User: 82605 http://www.chomar.wla.pl http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=82605 +--+ _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
Re[2]: przekierowanie p2p
On Sat, 13 Mar 2004, Arkadiusz Chomicki wrote: > On Sat, 13 Mar 2004, Łukasz Woźniak wrote: > > > > > 13 marca 2004, 00:26:08, Arkadiusz Chomicki napisal: > > > > AC> On Fri, 12 Mar 2004, Slawomir Kawala wrote: > > > > >> On Fri, 12 Mar 2004 23:09:52 +0100 (CET) > > >> Arkadiusz Chomicki <[EMAIL PROTECTED]> wrote: > > >> > > >> > moze macie jakies lepsze pomysly zeby sam ruch p2p przekieroiwac? > > >> > > >> Ja kombinowalem z iproute2, ale cos nie wychodzi... pewnie o czyms > > >> zapomnialem... no wiec jedno lacze to neo, drugie DSL > > >> > > AC> zrobilem tak na poczatek > > > > AC> $iptables -A PREROUTING -i eth0 -t mangle -p tcp -m ipp2p --ipp2p -j MARK > > --set-mark 0x80 > > AC> $iptables -A PREROUTING -i eth1 -t mangle -p tcp -m ipp2p --ipp2p -j MARK > > --set-mark 0x81 > > > > ipp2p działa tak, że wykrywa pakiety należące do wymiany danych p2p na > > podstawie tekstu w tym pakiecie. Ale wykrywa pojedynczy pakiet. A w > > trakcie połączenia taki pakiet jest jeden albo kilka. A pozostałe > > wyglądają normalnie. > > > > aby zlapac caly ruch p2p nalezy zmarkowac cala sesje > > $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark > > $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 > > $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark > > reasumując > zrobilem tak: > $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark > $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 > $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark > > $IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to 1.2.3.4 > $IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to 5.6.7.8 > > ip ru add fwmark 3 table 101 > > ruch jest przekierowywany do tabeli 101 (eth1) > ale niestety niewiem dlaczego niechce byc NAT'owany > > tabele są w pozrądku wg mnie bo jesli dodam > ip ru add from 192.168.0.0/16 table 101 to ruch jest przekierowany do > tabeli 101 i NAT'owany poprawnie > > co jeszcze jest nie tak? > > tabela mangle > > Chain PREROUTING (policy ACCEPT 2150 packets, 731K bytes) > pkts bytes target prot opt in out source destination > 2126 728K CONNMARK tcp -- * * 0.0.0.0/00.0.0.0/0 >CONNMARK restore >16 1600 MARK tcp -- * * 0.0.0.0/00.0.0.0/0 >ipp2p v0.5a --ipp2p MARK set 0x3 > 142 7600 CONNMARK tcp -- * * 0.0.0.0/00.0.0.0/0 >MARK match 0x3 CONNMARK save > > tabela nat > > Chain POSTROUTING (policy ACCEPT 4 packets, 301 bytes) > pkts bytes target prot opt in out source destination > 0 0 SNAT all -- * eth1192.168.0.0/16 0.0.0.0/0 >to:80.53.220.74 > 128 6224 SNAT all -- * eth2192.168.0.0/16 0.0.0.0/0 >to:213.17.252.78 > > czy ktos wie dlaczego nei mozna przekierowac ruchu na inne lacze uzywajac fwmark w iproute2? Pozdrawiam ChomAr -- +-=| Arkadiusz Chomicki |=-+ 84-120 Władysławowo GG#: 420515 woj. pomorskie e-mail:chomar(at)wla(dot)pl Registered User: 82605 http://www.chomar.wla.pl http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=82605 +--+ _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
Re[2]: przekierowanie p2p
On Sat, 13 Mar 2004, Łukasz Woźniak wrote: > > 13 marca 2004, 00:26:08, Arkadiusz Chomicki napisal: > > AC> On Fri, 12 Mar 2004, Slawomir Kawala wrote: > > >> On Fri, 12 Mar 2004 23:09:52 +0100 (CET) > >> Arkadiusz Chomicki <[EMAIL PROTECTED]> wrote: > >> > >> > moze macie jakies lepsze pomysly zeby sam ruch p2p przekieroiwac? > >> > >> Ja kombinowalem z iproute2, ale cos nie wychodzi... pewnie o czyms > >> zapomnialem... no wiec jedno lacze to neo, drugie DSL > >> > AC> zrobilem tak na poczatek > > AC> $iptables -A PREROUTING -i eth0 -t mangle -p tcp -m ipp2p --ipp2p -j MARK > --set-mark 0x80 > AC> $iptables -A PREROUTING -i eth1 -t mangle -p tcp -m ipp2p --ipp2p -j MARK > --set-mark 0x81 > > ipp2p działa tak, że wykrywa pakiety należące do wymiany danych p2p na > podstawie tekstu w tym pakiecie. Ale wykrywa pojedynczy pakiet. A w > trakcie połączenia taki pakiet jest jeden albo kilka. A pozostałe > wyglądają normalnie. > > aby zlapac caly ruch p2p nalezy zmarkowac cala sesje > $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark > $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 > $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark reasumując zrobilem tak: $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark $IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to 1.2.3.4 $IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to 5.6.7.8 ip ru add fwmark 3 table 101 ruch jest przekierowywany do tabeli 101 (eth1) ale niestety niewiem dlaczego niechce byc NAT'owany tabele są w pozrądku wg mnie bo jesli dodam ip ru add from 192.168.0.0/16 table 101 to ruch jest przekierowany do tabeli 101 i NAT'owany poprawnie co jeszcze jest nie tak? tabela mangle Chain PREROUTING (policy ACCEPT 2150 packets, 731K bytes) pkts bytes target prot opt in out source destination 2126 728K CONNMARK tcp -- * * 0.0.0.0/00.0.0.0/0 CONNMARK restore 16 1600 MARK tcp -- * * 0.0.0.0/00.0.0.0/0 ipp2p v0.5a --ipp2p MARK set 0x3 142 7600 CONNMARK tcp -- * * 0.0.0.0/00.0.0.0/0 MARK match 0x3 CONNMARK save tabela nat Chain POSTROUTING (policy ACCEPT 4 packets, 301 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- * eth1192.168.0.0/16 0.0.0.0/0 to:80.53.220.74 128 6224 SNAT all -- * eth2192.168.0.0/16 0.0.0.0/0 to:213.17.252.78 Pozdrawiam ChomAr -- +-=| Arkadiusz Chomicki |=-+ 84-120 Władysławowo GG#: 420515 woj. pomorskie e-mail:chomar(at)wla(dot)pl Registered User: 82605 http://www.chomar.wla.pl http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=82605 +--+ _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
Re[2]: przekierowanie p2p
13 marca 2004, 00:26:08, Arkadiusz Chomicki napisal: AC> On Fri, 12 Mar 2004, Slawomir Kawala wrote: >> On Fri, 12 Mar 2004 23:09:52 +0100 (CET) >> Arkadiusz Chomicki <[EMAIL PROTECTED]> wrote: >> >> > moze macie jakies lepsze pomysly zeby sam ruch p2p przekieroiwac? >> >> Ja kombinowalem z iproute2, ale cos nie wychodzi... pewnie o czyms >> zapomnialem... no wiec jedno lacze to neo, drugie DSL >> AC> zrobilem tak na poczatek AC> $iptables -A PREROUTING -i eth0 -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x80 AC> $iptables -A PREROUTING -i eth1 -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x81 ipp2p działa tak, że wykrywa pakiety należące do wymiany danych p2p na podstawie tekstu w tym pakiecie. Ale wykrywa pojedynczy pakiet. A w trakcie połączenia taki pakiet jest jeden albo kilka. A pozostałe wyglądają normalnie. aby zlapac caly ruch p2p nalezy zmarkowac cala sesje $IPT -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark $IPT -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 3 $IPT -A PREROUTING -t mangle -p tcp -m mark --mark 3 -j CONNMARK --save-mark AC> $iptables -A PREROUTING -i eth0 -t mangle -m mark --mark 0x90 -p tcp -m ipp2p --ipp2p AC> $iptables -A PREROUTING -i eth1 -t mangle -m mark --mark 0x91 -p tcp -m ipp2p --ipp2p AC> wynik mam taki AC> Chain PREROUTING (policy ACCEPT 578K packets, 262M bytes) AC> pkts bytes target prot opt in out source destination AC> 17393 7293K MARK tcp -- eth0 * 0.0.0.0/00.0.0.0/0 ipp2p v0.5a --ipp2p MARK set 0x80 AC> 20870 8069K MARK tcp -- eth1 * 0.0.0.0/00.0.0.0/0 ipp2p v0.5a --ipp2p MARK set 0x81 AC> 0 0tcp -- eth0 * 0.0.0.0/00.0.0.0/0 MARK match 0x90 ipp2p v0.5a --ipp2p AC> 0 0tcp -- eth1 * 0.0.0.0/00.0.0.0/0 MARK match 0x91 ipp2p v0.5a --ipp2p AC> jednak w /proc/net/ip_conntrack AC> mam same mark=0 jak bedziesz markowal tak jak podalem wyzej mark bedzie != 0 AC> czy on mi markuje? AC> gdzie jeszcze moge to sprawdzic? AC> Pozdrawiam AC> ChomAr -- Pozdrowienia, Łukasz Woźniak [EMAIL PROTECTED] _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
