helyből induló csomagok route -olása

Sun, 03 Jan 2010 11:14:21 -0800 

Sziasztok!

Van egy linux tűzfal (Debian etch, 2.6.18-6-686 kernellel), annak van 
két netkapcsolata: egy mikrós és egy tartalék adsl. Fut rajta egy 
asterisk, de lehetne akármi más is. Azt szeretném elérni, hogy az adott 
gép adott portját mindig az adsl -en keresztül érje el a tűzfalam.

ip rule -lal meg van adva, hogy ha fwmark==20, akkor azt a route táblát 
válassza, amelyik az adsl -t használja.
Ez viszont nem működik:
iptables -t mangle -A OUTPUT --dst xxxxxxx.hu -p udp --dport 5060 -j 
MARK --set-mark 20

Ugyanez ez viszont megy:
iptables -t mangle -A PREROUTING --src 172.30.30.253 --dst xxxxxxx.hu -p 
udp --dport 5060 -j MARK --set-mark 10
Tehát ha egy belső hálós gép ugyanoda menő csomagját jelölöm meg egy 
másik értékkel, akkor az a 10 -es mark -os route táblán megy keresztül.

Ez: http://www.frozentux.net/iptables-tutorial/chunkyhtml/c962.html és 
ez: http://www.debian-administration.org/articles/379 szerint is
is működnie kéne a dolognak, mert a mangle output után van egy másik 
"routig decision". De még sem, mert a tűzfalszabály számlálója 
növekszik, de a csomag a main rt. tábla szerint megy ki, az abban lévő 
def. gw. felé.

Ezek vannak a mangle táblában:
Chain PREROUTING (policy ACCEPT 5307 packets, 710K bytes)
 pkts bytes target     prot opt in     out     source               
destination
Ezek azért kellenek, hogy működjön mindkét dnat szabály:
MIKROIP:xxx -> belsősip:yyyy és
ADSLIP:xxx  -> belsősip:yyyy  is. (Ezek szerintem nem zavarhatnak be.)
65095 6921K CONNMARK   0    --  *      *       0.0.0.0/0            
0.0.0.0/0           CONNMARK restore
59804 6211K ACCEPT     0    --  *      *       0.0.0.0/0            
0.0.0.0/0           MARK match !0x0
 1072  122K MARK       0    --  eth3   *       0.0.0.0/0            
0.0.0.0/0           MARK set 0xa
   28  2400 MARK       0    --  ppp0   *       0.0.0.0/0            
0.0.0.0/0           MARK set 0x14
 5291  710K CONNMARK   0    --  *      *       0.0.0.0/0            
0.0.0.0/0           CONNMARK save
Ez a már fentebb említett működő.
    1   838 MARK       udp  --  *      *       172.30.30.253        
xxxxxxx.hu          udp dpt:5060 MARK set 0xa


Végül is a dolgot megoldotta a sip.conf -ban és az rtp.conf -ban egy 
bindaddr=adslip sor, de azért érdekelne a megoldás.
köszi,
üdv,
SA

P Mielőtt kinyomtatná ezt az e-mailt, gondoljon a KÖRNYEZETVÉDELEMRE / 
Before printing this mail, think about ENVIRONMENTAL responsibility




__________ Information from ESET NOD32 Antivirus, version of virus signature 
database 4740 (20100103) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com


_________________________________________________
linux lista      -      linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

válasz