Je me répond ;-)
Le 27/02/2013 14:35, daniel huhardeaux a écrit :
Bonjour,
désolé pour le HS, j'ai posé la question sur la liste Netfilter et
n'ai eu aucune réponse. Peut être aurai je plus de succès en la posant
ici :-)
Sur un serveur tournant en Debian squeeze iptables 1.4.8 j'ai 3
interfaces réseau: eth0=FAI1 eth1=FAI2 eth2=br0/Intranet. Mes
actuelles règles de routage répartissent le trafic Intranet vers
Internet soit par adresse IP source soit par adresse IP destination
via ip rule. Ma route par défaut est eth1. L'ensemble est fonctionnel.
Ce que j'aimerai à présent, en complément, c'est de pouvoir répartir
également par port de destination, comme par ex le http et ssh via
eth0, le reste via la route par defaut, peu importe l'IP source.
J'utilise donc le marquage de paquet d'iptables de la manière suivante
(l'IP source 192.168.10.6 étant un test de marquage par IP qui n'est
pas plus fonctionnel que celui des ports):
[...]
Mes règles sont bonnes sauf que:
a) iptables ne tient pas compte de -j CONNMARK --set-mark [1|2] mais -j
MARK --set-mark [1|2] fonctionne
b) il faut désactiver le reverse path filtering qui protège de l'IP
spoofing ( /etc/sysctl.conf net.ipv4.conf.all.rp_filter =0)
Le lien magique
http://www.sysresccd.org/Sysresccd-Networking-EN-Iptables-and-netfilter-load-balancing-using-connmark
Bonne soirée
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers [email protected]
En cas de soucis, contactez EN ANGLAIS [email protected]
Archive: http://lists.debian.org/[email protected]
