Aproveitando o tópico...
Tem algum segredo ou macete para se usar iproute no debian ?
Já segui vários manuais, e documentação da internet e nunca tenho
sucesso.
Estou usando a marcação de pacotes no iptables, já li a documentação da
lacart várias vezes.
O que quero é o seguinte, tenho um adsl
edmarcos escreveu:
Aproveitando o tópico...
Tem algum segredo ou macete para se usar iproute no debian ?
Já segui vários manuais, e documentação da internet e nunca tenho
sucesso.
Estou usando a marcação de pacotes no iptables, já li a documentação da
lacart várias vezes.
O que quero é o
O pior que já li, já fiz usando esta documentação.
Parece que i iptables nao marca os pacotes, o modulo mark está
carregado no kernel. Mas os pacotes se perdem
Em Qui, 2008-03-20 às 14:04 -0300, Antonio Lobato escreveu:
edmarcos escreveu:
Aproveitando o tópico...
Tem algum segredo ou macete
(envie tb para a lista)
edmarcos escreveu:
O pior que já li, já fiz usando esta documentação.
Parece que i iptables nao marca os pacotes, o modulo mark está
carregado no kernel. Mas os pacotes se perdem
Pra ver o estado das conexões atuais com
cat /proc/net/ip_conntrack
deve aparecer
Veja como está:edelcio:~# cat fw | grep mark
-A PREROUTING -i ppp1 -p tcp -j MARK --set-mark 0x2
-A PREROUTING -i ppp0 -p tcp -j MARK --set-mark 0x3
edelcio:~# grep -v 'mark=0' /proc/net/ip_conntrack
edelcio:~#
Nada !
Em 20/03/08, Antonio Lobato [EMAIL PROTECTED] escreveu:
(envie tb para a
edmarcos souza escreveu:
Veja como está:edelcio:~# cat fw | grep mark
-A PREROUTING -i ppp1 -p tcp -j MARK --set-mark 0x2
-A PREROUTING -i ppp0 -p tcp -j MARK --set-mark 0x3
edelcio:~# grep -v 'mark=0' /proc/net/ip_conntrack
usou save/restore/'ip ru'?
... -j CONNMARK --restore-mark e
...
Daniel Ribeiro escreveu:
Boa tarde Fábio,
O seu servidor interno que recebe esse DNAT está saindo mascarado para a
internet através do ip da wan2? Caso não, tente adicionar um SNAT para que
esse servidor saia pela wan2, e procure não utilizar a opção MASQUERADE do
iptables, tente fazer
Lucas Mocellin escreveu:
Olá,
também já passei por esse problema, e resolvi tudo isso somente com
iproute.
Veja o exemplo abaixo, adaptei para as suas eth's porem, nao mudei
as redes e os ips do servidor(192.168.20.10 http://192.168.20.10 e
192.168.10.10 http://192.168.10.10). o
Olá,
também já passei por esse problema, e resolvi tudo isso somente com iproute.
Veja o exemplo abaixo, adaptei para as suas eth's porem, nao mudei as
redes e os ips do servidor(192.168.20.10 e 192.168.10.10). o 192.168.20.1 é
meu gateway padrão e o 192.168.10.1 é o gateway do segundo link.
Caros Colegas,
Tenho uma rede com a seguinte sitação:
WAN 1 || WAN 2
===| Servidor |===
||
||
||LAN
WAN 1 e WAN 2 saidas distintas para internet
Default Gateway WAN 1
Na WAN 2 faço
Olá Fábio!
está um tanto vago o problema, poderia postar as regras do iptables
relevantes?
Poderia explicar melhor o trecho Acontece que eu nao estou conseguindo
marcar
o pacote de retorno do NAT para dentro da minha rede?
Tom Lobato
www.tinecon.com.br
Fabio Passari escreveu:
Caros
Você precisa do conceito do BINAT, vindo do PF do OpenBSD
Tem que realizar o DNAT de fora para dentro e um SNAT do servidor para
a rede interna (SNAT de um IP exclusivo interno para o link WAN2). A
volta, pacotes destinados ao IP de NAT da WAN2 saem pelo link correto,
pela marcação de
-portuguese@lists.debian.org
Assunto: Roteamento avançado ip route
Caros Colegas,
Tenho uma rede com a seguinte sitação:
WAN 1 || WAN 2
===| Servidor |===
||
||
||LAN
WAN 1 e WAN 2
É uma opção, e na verdade não haveria o problema da
rastreabilidade pois o binat não traduz a conexão entrante.
O servidor interno vê a conexão vindo do IP válido que a
originou.
No entanto, um simples DNAT usado com CONMARK bem
configurados resolve o problema, e dentro do Linux/Iptables.
Boa tarde Tom,
Deixa eu me expressar melhor então:
Em um servidor tenho 3 placas de rede sendo: 2 internet's (eth0 e eth2) e uma
Lan eth1:
O Default gateway do servidor sai pela eth0.
Tenho uma regra de iptables que faz o redirecionamento do pacote para meu
servidor na lan com a tabela de
maravilha, agora fica mais facil pra entender =)
vc esta usando
'-j CONNMARK --restore-mark' e
'-j CONNMARK --save-mark'
em seu firewall?
está usando 'ip ru add ...' para avisar o pacote de retorno
que deve sair/voltar pela rota correta (referente a interface eth2)?
uma pergunta: vc tem algum
16 matches
Mail list logo