D'après mes essais, il semble que la marque appelée fwmark dans ip rule correspond à une marque sur le paquet (mark) et pas celle sur les connexions (connmark).
J'espère que ça pourra aider quelqu'un d'autre. Slts Le lun. 18 oct. 2021 à 16:18, Olivier <oza.4...@gmail.com> a écrit : > Dans [1], j'ai lu: > nft add rule inet classify output ip daddr 1.1.1.1 ct mark set numgen inc > mod 3 offset 390 > nft add rule inet classify output ip daddr 1.1.1.1 meta mark set ct mark > > Qui pourrait m'expliquer ces 2 lignes ? > > [1] https://forums.gentoo.org/viewtopic-t-1136379-start-0.html > > Le lun. 18 oct. 2021 à 16:17, Olivier <oza.4...@gmail.com> a écrit : > >> Bonjour, >> >> Je découvre nftables sur une machine équipée de Bullseye. >> >> Sur cette machine j'ai les règles: >> >> # ip rule show >> 0: from all lookup local >> 0: from all fwmark 0x2 lookup link2 >> 32766: from all lookup main >> 32767: from all lookup default >> >> J'aimerai que nftables ajoute une marque donnée pour le trafic non-marqué >> reçu sur une interface Ethernet donnée, auto-configurée par DHCP. >> Comment l'obtenir ? >> >> J'ai essayé (sans succès) où ens3.432 est le nom de l'interface >> (virtuelle) sur laquelle le trafic est reçu: >> >> add rule ip mangle input iifname "ens3.432" meta mark 0 log prefix >> "Rule42-A1" counter ct mark set 0x2 >> >> La table mangle et sa chaine input sont définies par: >> >> table mangle { >> chain prerouting { type filter hook prerouting priority -150; } >> chain input { type filter hook input priority -150; } >> chain forward { type filter hook forward priority -150; } >> chain output { type route hook output priority -150; } >> chain postrouting { type filter hook postrouting priority -150; } >> } >> >> Dans les faits, j'observe que: >> >> - la règle mangle ci-dessus est exécutée car je elle figure dans les logs >> et la commande "conntrack -L -o id,extended" montre qu'une marque est >> appliquée sur le rafic avec l'émetteur >> >> - la réponse est émise vers l'émetteur avec la bonne adresse source mais >> une autre interface (celle par défaut). >> >> Ces deux observations me laissent pense que la règle "fwmark 0x2 lookup >> link2" est ignorée. >> Cette conviction est renforcée par le fait que quand je remplace cette >> règle par une règle basée sur l'IP source ("from 192.168.17.0/24 lookup >> link2"), l'émetteur reçoit la réponse via la bonne interface. >> Comme l'interface est configurée par DHCP, j'aimerai autant que possible >> ne pas utiliser de règle faisant intervenir des données que je ne maîtrise >> pas (ie celles fournies par le serveur DHCP). >> >> J'ai l'impression que: >> soit il y a une confusion de ma part entre les marques de conntrack et >> celles de nftables, >> soit il y a une erreur dans la définition de la chaine input ou sa table >> mangle, >> soit encore autre chose. >> >> Qui pourrait me mettre sur la bonne voie ? >> >> Slts >> >> >>
