Мохнатые уроды и моральные пёзды. Войти !bnw Сегодня Клубы
Хочу пустить процесс в интернеты по альтернативному интерфейсу, метча по source address, но чото пошло не так: ip route add default via 192.168.11.1 table 1 ip rule add fwmark 1 table 1 iptables -t mangle -I OUTPUT -s 192.168.11.2 -j MARK --set-mark 1 `ping -I dns0 8.8.8.8` ничо не показывает. ЧЯДНТ?
Рекомендовали: @silvery
#OU42NS / @l29ah / 3340 дней назад

link-local маршрут в таблицу 1 добавить забыл
#OU42NS/KUV / @etw / 3340 дней назад
@etw Чот хуита всё равно: l29ah-x201 ~ ∞ ip rule | grep 0x2 32764: from all fwmark 0x2 lookup 2 l29ah-x201 ~ ∞ ip r s table 2 default via 192.168.4.1 dev tun0 192.168.4.0/24 dev tun0 proto kernel scope link l29ah-x201 ~ ∞ iptables-save | grep 0x2 -A OUTPUT -s 192.168.4.11/32 -j MARK --set-xmark 0x2/0xffffffff l29ah-x201 ~ ∞ ping -I tun0 -c 1 192.168.4.11 PING 192.168.4.11 (192.168.4.11) from 192.168.4.11 tun0: 56(84) bytes of data. 64 bytes from 192.168.4.11: icmp_seq=1 ttl=64 time=0.092 ms --- 192.168.4.11 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.092/0.092/0.092/0.000 ms l29ah-x201 ~ ∞ ping -I tun0 -c 1 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from 192.168.4.11 tun0: 56(84) bytes of data. --- 8.8.8.8 ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms
#OU42NS/27X / @l29ah --> #OU42NS/KUV / 3340 дней назад
@l29ah Тьфу, l29ah-x201 ~ ∞ ping -I tun0 -c 1 192.168.4.1 PING 192.168.4.1 (192.168.4.1) from 192.168.4.11 tun0: 56(84) bytes of data. 64 bytes from 192.168.4.1: icmp_seq=1 ttl=64 time=92.5 ms --- 192.168.4.1 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 92.523/92.523/92.523/0.000 ms
#OU42NS/AO6 / @l29ah --> #OU42NS/27X / 3340 дней назад
@l29ah А че output, а не prerouting?
#OU42NS/1KI / @etw --> #OU42NS/27X / 3340 дней назад
@etw Хотя, конеш, пинг должен вообще без правил фаервола работать, т.к. биндинг к интерфейсу задается явно
#OU42NS/IOJ / @etw --> #OU42NS/1KI / 3340 дней назад
@etw Не должен, поскольку маршрутизацию никто не отменял.
#OU42NS/K7Y / @l29ah --> #OU42NS/IOJ / 3340 дней назад
@etw Хуйня с локальных сокетов пройдёт мимо prerouting, не?
#OU42NS/0HX / @l29ah --> #OU42NS/1KI / 3340 дней назад
Хм, такое чувство будто rule не срабатывает.
#OU42NS/H3C / @l29ah / 3340 дней назад
@l29ah ip rule add from 192.168.4.11 table 2 во заебись // нихуя не понимаю что не работало, на маркировку пакеты приходили же
#OU42NS/R17 / @l29ah --> #OU42NS/H3C / 3340 дней назад
@l29ah В output в любом случае уже поздно маркать траф для pbr
#OU42NS/CX6 / @etw --> #OU42NS/0HX / 3340 дней назад
#OU42NS/9OP / @l29ah --> #OU42NS/CX6 / 3340 дней назад
@etw :*
#OU42NS/EGB / @l29ah --> #OU42NS/CX6 / 3340 дней назад
@l29ah Я имею в виду, без маркировки трафика, т.к. она, по сути нужна, чтобы к интерфейсу прибиндился только первый пакет в flow, а дальше... а, ясно, где у тебя "ip rule from 192.168.4.11 lookup 2" ?
#OU42NS/IO5 / @etw --> #OU42NS/K7Y / 3340 дней назад
@l29ah Сразу после conntrack справа
#OU42NS/STJ / @etw --> #OU42NS/9OP / 3340 дней назад
@etw Лол, firefox почему-то не счёл это текстом и по output не нашёл.
#OU42NS/Y9C / @l29ah --> #OU42NS/STJ / 3340 дней назад
@l29ah В том-то и дело, что не приходили. Это правило нужно, чтобы, во-первых, правильно работал софт, который сразу отсылает пакеты с src addr нужного интерфейса (как пинг в этом треде, например), и, во-вторых, чтобы в фаерволе не трекать соединения и затем маркать все исходящие пакеты с ним, а только первые пакеты в flow, т.к. все последующие уже будут вылетать в routing engine c правильным src ip сокета.
#OU42NS/5F9 / @etw --> #OU42NS/R17 / 3340 дней назад
@etw Приходили, и я это видел в -vL. Какое правило? Зачем вообще нужна возня с маркировками когда есть ip rule from?
#OU42NS/ZP7 / @l29ah --> #OU42NS/5F9 / 3340 дней назад
@l29ah В моём случае, когда я разделяю процессы по таблицам методом выставления им адреса, на который они должны биндиться, that is.
#OU42NS/EK7 / @l29ah --> #OU42NS/ZP7 / 3340 дней назад
@l29ah Да, в твоем случае можно без фаервола обойтись.
#OU42NS/DH4 / @etw --> #OU42NS/EK7 / 3340 дней назад
@l29ah > Приходили, и я это видел в -vL. Лан, может, и приходили, но routing decision уже в этот момент прошел и они, скорее всего, вылетали в default route основной таблицы. Кстати, rule of thumb: output и postrouting - после routing decision, input и prerouting - до, forward - между. В любых таблицах. > Какое правило? > ip rule add from 192.168.4.11 table 2
#OU42NS/XAF / @etw --> #OU42NS/ZP7 / 3340 дней назад
Локальное правило таки не нужно, похоже.
#OU42NS/0DF / @l29ah / 3340 дней назад
@l29ah Если у тебя p2p интерфейс, то, возможно, и прокатит. Иначе - нужно, чтобы находить маршрутизатор, которому ты отсылаешь траф через default route. Или ты не про link loсal маршрут?
#OU42NS/RPH / @etw --> #OU42NS/0DF / 3340 дней назад
@etw И, кстати ,если у тебя p2p интерфейс и ты хочешь выкинуть link local рут, то тогда понадобится дефолтный маршрут привести к виду ip route add deafult dev <ifname>
#OU42NS/JXH / @etw --> #OU42NS/RPH / 3340 дней назад
@etw ну и таблицу указать, конечно
#OU42NS/7U2 / @etw --> #OU42NS/JXH / 3340 дней назад
@etw Да, у меня тупая впнка тама. Чмаки.
#OU42NS/ORC / @l29ah --> #OU42NS/RPH / 3340 дней назад
Чёт зароутил марком в впнку tcp, в результате он тупо сломался. iptables -t mangle -A OUTPUT -o wwan1 -j YOTA iptables -t mangle -A YOTA -p tcp --dport 80 -j MARK --set-xmark 0x2
#OU42NS/KRO / @l29ah / 3337 дней назад
@l29ah Блядь. Не. Маркай. Траф. В. OUTPUT.
#OU42NS/EL8 / @etw --> #OU42NS/KRO / 3337 дней назад
@etw Сорь, туплю. Маркай.
#OU42NS/SL2 / @etw --> #OU42NS/EL8 / 3337 дней назад
@l29ah Хз, короч.
#OU42NS/Z62 / @etw --> #OU42NS/KRO / 3337 дней назад
@etw Хм, мне SNAT ещё нужен штоле?
#OU42NS/H7M / @l29ah --> #OU42NS/Z62 / 3337 дней назад
@l29ah Чёт всё равно нихуя.
#OU42NS/I4K / @l29ah --> #OU42NS/H7M / 3337 дней назад
@l29ah снат не нужен. подебаж свой конфиг "ip route get"-ом и wireshark-ом. Посмотри что куда ходит и, самое главное, с какими адресами возвращается.
#OU42NS/PL3 / @etw --> #OU42NS/H7M / 3337 дней назад
@l29ah У тебя пинги через туннель идут, когда на ты интерфейс явно задаешь?
#OU42NS/6IS / @etw --> #OU42NS/H7M / 3337 дней назад
@etw Нажал ваяшак на tun0, не вижу чтобы curl http://google.com/ чото породил.
#OU42NS/XP4 / @l29ah --> #OU42NS/PL3 / 3337 дней назад
@etw У меня всё через туннель охуенно идёт, когда прибиндено к правильному адресу. Я же хочу часть портов зароутить идущих в интернеты с похуй какого адреса.
#OU42NS/4AS / @l29ah --> #OU42NS/6IS / 3337 дней назад
@l29ah а ip route get что говорит?
#OU42NS/6H6 / @etw --> #OU42NS/XP4 / 3337 дней назад
@etw Полную команду напиши, я не понимаю что ты хочешь.
#OU42NS/G7J / @l29ah --> #OU42NS/6H6 / 3337 дней назад
@l29ah ip r get <ipaddr> mark 2
#OU42NS/3PR / @etw --> #OU42NS/G7J / 3337 дней назад
@etw ∞ ip r get 173.194.32.131 mark 2 173.194.32.131 via 192.168.4.1 dev tun0 src 192.168.4.11 mark 2 cache
#OU42NS/FP2 / @l29ah --> #OU42NS/3PR / 3337 дней назад
@l29ah В сниффер даже syn-пакеты не ловит? Ты смотрел с какими заголовками через другой интерфейс пакеты соединения летят?
#OU42NS/LER / @etw --> #OU42NS/FP2 / 3337 дней назад
@etw Не ловит. Алсо ВНЕЗАПНО ловит вебню роутера, которая стучится на 192.168.8.1 и закономерно сосёт хуи потому что роутер не там. Не понял какие заголовки интересны.
#OU42NS/UHQ / @l29ah --> #OU42NS/LER / 3337 дней назад
@l29ah ip-заголовки, вестимо. если конкретно, то адреса.
#OU42NS/SXN / @etw --> #OU42NS/UHQ / 3337 дней назад
@etw Через другой интерфейс - это в каком случае? ЯННП.
#OU42NS/JY3 / @l29ah --> #OU42NS/SXN / 3337 дней назад
@l29ah Хуйня какая-то. С этим правилом wireshark вообще ничего по фильтру http не может выловить.
#OU42NS/9T1 / @l29ah --> #OU42NS/KRO / 3337 дней назад
@l29ah А, я хуй.
#OU42NS/EZU / @l29ah --> #OU42NS/9T1 / 3337 дней назад
@etw syn, syn,ack, дальше гугол мне ретрансмишоны шлёт.
#OU42NS/MCL / @l29ah --> #OU42NS/LER / 3337 дней назад
@l29ah О, я кажется обосрался с натоговном.
#OU42NS/CRL / @l29ah --> #OU42NS/MCL / 3337 дней назад
@l29ah Или нет. Вроде SNAT правильно работает, но я почему-то не обрабатываю ответ сервера.
#OU42NS/17U / @l29ah --> #OU42NS/CRL / 3337 дней назад
@l29ah Кажется я хочу CONNMARK.
#OU42NS/NMX / @l29ah --> #OU42NS/17U / 3337 дней назад
@l29ah Ну или вместо него писать отдельно правила на вход и на выход.
#OU42NS/YZW / @l29ah --> #OU42NS/NMX / 3337 дней назад
@l29ah Че за правила? SNAT и так stateful, маркать вхоядщий траф для pbr не требуется. У тебя что ли в фильтрах косяки?
#OU42NS/9DA / @etw --> #OU42NS/YZW / 3337 дней назад
@etw Ок, тогда я ничего не понимаю. В фильтрах у меня ничего интересного нет НЯП.
#OU42NS/WYX / @l29ah --> #OU42NS/9DA / 3337 дней назад
@l29ah ∞ iptables-save # Generated by iptables-save v1.4.21 on Wed Oct 7 09:10:28 2015 *nat :PREROUTING ACCEPT [11:5237] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [68:6526] :POSTROUTING ACCEPT [65:6342] -A PREROUTING -i torout -p tcp -m tcp --dport 4447 --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 4447 -A PREROUTING -i torout -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040 -A PREROUTING -i torout -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 -A POSTROUTING -o wwan1 -j MASQUERADE -A POSTROUTING -o tun0 -m mark --mark 0x2 -j SNAT --to-source 192.168.4.11 COMMIT # Completed on Wed Oct 7 09:10:28 2015 # Generated by iptables-save v1.4.21 on Wed Oct 7 09:10:28 2015 *mangle :PREROUTING ACCEPT [4743:426556] :INPUT ACCEPT [4712:415542] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7124:7380761] :POSTROUTING ACCEPT [7124:7380761] :DIVERT - [0:0] :YOTA - [0:0] -A FORWARD -o wwan1 -j YOTA -A OUTPUT -o wwan1 -j YOTA -A YOTA -p tcp -m tcp --dport 80 -j MARK --set-xmark 0x2/0xffffffff COMMIT # Completed on Wed Oct 7 09:10:28 2015 # Generated by iptables-save v1.4.21 on Wed Oct 7 09:10:28 2015 *filter :INPUT ACCEPT [49949:5889276] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [73695:66267929] :f2b-sshd - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd -A INPUT -i torout -p tcp -j ACCEPT -A INPUT -i torout -p udp -m udp --dport 53 -j ACCEPT -A INPUT -i torout -j REJECT --reject-with icmp-port-unreachable -A FORWARD -d 192.168.8.1/32 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -i torout -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -p tcp -m owner --uid-owner 1003 -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable -A f2b-sshd -j RETURN COMMIT # Completed on Wed Oct 7 09:10:28 2015
#OU42NS/18U / @l29ah --> #OU42NS/WYX / 3337 дней назад
@l29ah > -A PREROUTING -i torout -p tcp -m tcp --dport 4447 --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 4447 > -A PREROUTING -i torout -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040 -m conntrack --ctstate NEW, не? > -A POSTROUTING -o tun0 -m mark --mark 0x2 -j SNAT --to-source 192.168.4.11 я бы проверку марок из snat убрала. если не хочешь пускать через туннель ничего, кроме http, лучше в filter явно дропай, будет проще понять, что происходит, по счетчикам.
#OU42NS/F1M / @etw --> #OU42NS/18U / 3337 дней назад
@etw Какая разница? Зачем? Не, я дохуя всего хочу пускать, в первую очередь торренты и git, а на http экспериментирую.
#OU42NS/GWP / @l29ah --> #OU42NS/F1M / 3337 дней назад
@l29ah > Какая разница? читать проще :3 > Не, я дохуя всего хочу пускать, в первую очередь торренты и git, а на http экспериментирую а нафига тогда проверка марок? убирать ее пробовал?
#OU42NS/Y5B / @etw --> #OU42NS/GWP / 3337 дней назад
@etw Проверку марок я пихнул потому что только маркированные пакеты рискуют идти с левого source. Убирал, разницы никакой.
#OU42NS/FPU / @l29ah --> #OU42NS/Y5B / 3337 дней назад
@l29ah О, бля, чото происходит.
#OU42NS/KX8 / @l29ah --> #OU42NS/FPU / 3337 дней назад
@l29ah Волшебным образом после ребута в свежепересобранное ядро оно работает.
#OU42NS/OB0 / @l29ah --> #OU42NS/KX8 / 3337 дней назад
@l29ah Лан
#OU42NS/0GZ / @etw --> #OU42NS/OB0 / 3337 дней назад
@l29ah КАК ЭТО РАБОТАЛО ПОЧЕМУ БОЛЬШЕ НЕ РАБОТАЕТ????(((((((
#OU42NS/AUD / @l29ah --> #OU42NS/OB0 / 3323 дня назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.