Le 15/04/2019 à 20:18, Pascal Hambourg a écrit : > Je n'ai rien compris. Et pourtant j'ai la prétention de m'y connaître > un peu. > oups, je n'utilise pas les bon termes. >> est-ce qu'une solution existe pour que si ça arrive par l'interface >> wan0, ça reparte par la même interface et que ça ne passe pas par les >> règle que j'ai mis pour l'output ? > > >> pour rappel, un petit exemple de ce que je fais: >> ##routage alternatif >> iptables -t mangle -N ROUTING-POLICY >> iptables -t mangle -A OUTPUT -j ROUTING-POLICY >> iptables -t mangle -A PREROUTING -j ROUTING-POLICY >> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -j MARK >> --set-mark 0x3 > > -D, vraiment ?
non, -A bien entendu. erreur de copier / coller. > > C'est du routage avancé, pas de la redirection. Pas étonnant que je > n'ai rien compris. oui, routage avancé, pardon. au temps pour moi. > > Si je comprends bien tu veux marquer seulement les paquets des > connexions sortantes. Une solution consiste à utiliser le marquage de > connexion avec la cible CONNMARK et la correspondance connmark. oui, exactement. du coup je vais tester ça, merci. > Une autre possibilité plus simple mais probablement incomplète > consiste à discriminer l'adresse source originelle de la connexion > avec l'option --ctorigsrc de la correspondance conntrack, en ajoutant > à la règle de marquage : > > -m conntrack ! --ctorigsrc jeremy.domain.net > ça pour le coup j'ai pas trop compris, mais je relierai ça si la solution 1 ne fonctionne pas :) Merci Pascal. Jerem
