Le 17/04/2019 à 22:07, Jérémy Prego a écrit :
Le 17/04/2019 à 21:51, Pascal Hambourg a écrit :
)
Par contre, l'inconvénient est que du coup j'ai 2 lignes par host au
lieu d'une seul du coup ça va me doubler toute les rules. Je ne pense
pas qu'on puisse réduire ça en une ligne ?
Comment ça, par host ? Il y en a d'autres ?
oui, quelques uns.
Combien ?
plusieurs centaine.
Alors ipset est probablement plus efficace que des centaines de règles.
Tu peux factoriser l'adresse grâce à une autre chaîne utilisateur.
???
iptables -t mangle -N ROUTING-POLICY
iptables -t mangle -N ROUTING-POLICY-2
iptables -t mangle -A ROUTING-POLICY -d adresse1 -j ROUTING-POLICY-2
iptables -t mangle -A ROUTING-POLICY -d adresse2 -j ROUTING-POLICY-2
iptables -t mangle -A ROUTING-POLICY -d adresse3 -j ROUTING-POLICY-2
...
iptables -t mangle -A ROUTING-POLICY-2 -m conntrack --ctstate NEW -j
CONNMARK --set-mark 0x1
iptables -t mangle -A ROUTING-POLICY-2 -j CONNMARK --restore-mark
