Maxim Tyurin пишет: > Aleksey Avdeev writes: > > >>Denis Kirienko пишет: >> >>>Vladimir V. Kamarzin пишет: >>> >> >>... >> >>>Непонятно, как разрулить через ip rule. В ip rule нельзя задать в >>>качестве критерия номер порта. И судя по iptables tutorial пометить >>>исходящий пакет тоже нельзя: routing decision принимается до попадания >>>пакета в mangle. >> >> Можно: когда срабатывает ip rule -- пакет ещё в ядре. (У меня -- >>работает.) > > > Точно работает? > Для трафика *от локального процесса*?
Точно. :-) > >>PS: См. <http://www.opennet.ru/docs/RUS/LARTC/x1308.html> на предмет >>фильтрации по метке пакета. > > > OUTPUT ROUTING срабатывает раньше iptables OUTPUT > > Транзитный трафик можно крутить как угодно, а от локального процесса > нет :( И транзитный, и локальный трафик, требующие обработки в таблице mangle (в цепочках PREROUTING и OUTPUT соответственно) заворачиваю в одну цепочку. Где и помечаю. Работает, однако. :-) -- С уважением. Алексей. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
