El 06/09/12 17:39, Francisco J. Bejarano escribió: > Acabo de añadir las regla siguientes para mi host con la configuracion > inicial. La regla 30020 es el apaño que tengo para que la red 2 salga > temporalmente por algun sitio y no se sature todo saliendo por el main > (TB1) > > 0: from all lookup local > *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 > ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 > *****30015: from 10.0.2.226 fwmark 0x2 lookup TB3** * > *30016: from 10.0.2.226 lookup TB3 > **30019: from 10.0.2.0/24 lookup TB2* > *30040: from 10.0.2.0/24 lookup TB3* > > Con esto trazo al puerto 22 y al 80 y voy a traves de TB3 en ambos > cuando debería ir a traves de TB1 en el 22 que es mas prioritaria la > regla. > > Quito la regla 30016 > > 0: from all lookup local > *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 > ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 > *****30015: from 10.0.2.226 fwmark 0x2 lookup TB3** > ***30019: from 10.0.2.0/24 lookup TB2* * > **30040: from 10.0.2.0/24 lookup TB3** > > Trazo al 22 y al 80 y salgo por TB2 en ambos casos. Es decir con el > 22 puede estar usando la regla 30014 o la 30019 pero con el puerto 80 > solo puede estar usando la regla 30019. > > Quito las reglas sin marca de la red 30019 y la 30040 > > 0: from all lookup local > *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 > ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 > *****30015: from 10.0.2.226 fwmark 0x2 lookup TB3*** > > Trazo ambos puertos: Y aqui veo que el 22 va por TB2 y el 80 por main > (TB1) ... vaya vaya. Parece como si las reglas que son mas generales o > globales con una red tuvieran mas prioridad que las reglas mas > especificas (con un host con marcado) a pesar de ser mas > prioritarias... En este caso el marcado lo ha enviado correctamente > pero pongo al principio una regla general de marcado y > > 0: from all lookup local > *30012: from all fwmark 0x2 lookup TB3* > *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 > ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 > *****30015: from 10.0.2.226 fwmark 0x2 lookup TB3*** > > Trazo los puertos y se salta la regla 30012, en fin, no entiendo como > funciona esto. Se supone que los numeros de prioridad son para algo... > alguna sugerencia? a mi ya me duele la cabeza... > > > El 06/09/12 13:42, Francisco J. Bejarano escribió: >> Voy a ponerlo mas claro que puede que sea un lio. >> >> 0: from all lookup local >> 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 >> 30010: from 10.0.2.226 lookup TB3 >> 30030: from 10.0.1.0/24 lookup TB3 >> 30040: from 10.0.2.0/24 lookup TB3 >> 30060: from all lookup main >> 30070: from all lookup default >> >> Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa >> del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. >> Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. >> >> 0: from all lookup local >> 30010: from 10.0.2.226 lookup TB3 >> 30030: from 10.0.1.0/24 lookup TB3 >> 30040: from 10.0.2.0/24 lookup TB3 >> 30060: from all lookup main >> 30070: from all lookup default >> >> Quito el marcado y sigue yendo a TB3 por ambos puertos. >> >> 0: from all lookup local >> 30030: from 10.0.1.0/24 lookup TB3 >> 30040: from 10.0.2.0/24 lookup TB3 >> 30060: from all lookup main >> 30070: from all lookup default >> >> He quitado lo especifico a mi direccion y sigue yendo por TB3 como >> corresponde a la regla 30040. >> >> 0: from all lookup local >> 30030: from 10.0.1.0/24 lookup TB3 >> 30060: from all lookup main >> 30070: from all lookup default >> >> Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene >> main. >> >> Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta... >> >> >> >> El 06/09/12 13:04, Juan Antonio escribió: >>> El 06/09/12 13:00, Francisco J. Bejarano escribió: >>>> 30015: from 10.0.2.226 lookup TB3 >>> ¿y si quitas esta llega a TB2 o a main? >>> >>> >>> >>> > > > -- > ----------------------------------------------------------------- > Francisco J. Bejarano > Responsable de Sistemas > Dpt. Sistemas e Infraestructuras > Open Knowledge Network S.L. > francisco.bejar...@openknowledgenetwork.com > Tel. (+34) 902 534 004 > Fax. (+34) 917 266 476 > -----------------------------------------------------------------
pues de momento, y para salir del paso, yo lo marcaría todo. Es decir iptables -t mangle -I PREROUTING -s 10.0.2.0/24 -p tcp --dport ! 22 -j mark --set-mark 0x1 iptables -t mangle -I PREROUTING -s 10.0.2.0/24 -p tcp --dport 22 -j mark --set-mark 0x11 etc ... habría que hacerlo asi (negando con !) porque en mangle una coincidencia no detiene el proceso. Despues usa rules solo con fwmarks. Se que no es lo mas bonito ni lo mas óptimo, pero como te he dicho, para salir del paso ...
