Groups | Search | Server Info | Login | Register
Groups > de.comp.security.firewall > #224
| From | Lars Uhlmann <usenet@lars-uhlmann.de> |
|---|---|
| Newsgroups | de.comp.security.firewall |
| Subject | iptables rt_tables fwmark |
| Date | 2020-04-21 14:24 +0200 |
| Organization | private |
| Message-ID | <pan.2020.04.21.12.24.11.639965@lars-uhlmann.de> (permalink) |
gegeben: - Vanilla Debian "buster" - Router mit zwei ISP-Uplinks Um eingehende Verbindungen unabhängig von der Default-Route zu behandeln, sind zwei Tabellen angelegt (ich nehme exemplarisch nur eine heraus): +-[grep telekom /etc/iproute2/rt_tables] | 201 telekom +----- und entsprechend befüllt: +-[ip route show table telekom] | default via 192.168.201.1 dev enp2s0 +----- Dazu die Regel, daß für mit "201" markierte Pakete diese Tabelle gilt: +-[ip rule ls] | 0: from all lookup local | 32765: from all fwmark 0xc9 lookup telekom | 32766: from all lookup main | 32767: from all lookup default +----- Ein Test zeigt, daß alles bis hierher funktioniert: +-[ip route get 1.1.1.1 mark 0xc9] | 1.1.1.1 via 192.168.201.1 dev enp2s0 table telekom src 192.168.201.2 mark 0xc9 uid 0 | cache +----- Jetzt markiere ich die gewünschten eingehenden Protokolle am Interface: | iptables -t mangle -A PREROUTING -i enp2s0 -p tcp --dport $PORT1 -j MARK --set-mark 201 | iptables -t mangle -A PREROUTING -i enp2s0 -p udp --dport $PORT2 -j MARK --set-mark 201 Trotzdem verlassen die Antworten den Router über das falsche Interface. Wenn ich die Pakete in der INPUT-Table logge, ist die Markierung vorhanden. Reverse Path filtering ist deaktiviert. Ich stehe gerade auf dem Schlauch. Danke für die Hilfe Lars
Back to de.comp.security.firewall | Previous | Next | Find similar
iptables rt_tables fwmark Lars Uhlmann <usenet@lars-uhlmann.de> - 2020-04-21 14:24 +0200
csiph-web