Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: [НЕВОЗМОЖНО РЕШИТЬ] iptables пропадает маркировка в таблице nat  (Прочитано 809 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн SveRussian

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
[НЕВОЗМОЖНО РЕШИТЬ] iptables пропадает маркировка в таблице nat
« : 16 Января 2014, 13:42:55 »
Доброго времени суток.
Такая проблема:
Изменяю таблицы mangle и nat, маркируя пакет в mangle
Код: [Выделить]
iptables -t mangle -A PREROUTING -m string --string 'test' --algo kmp -j MARK --set-mark 1Тут же вывожу в сислог для проверки из двух таблиц - из mangle и nat:
Код: [Выделить]
iptables -t mangle -A PREROUTING -m mark --mark 1 -j LOG
iptables -t nat -A PREROUTING -j LOG
При каждом обновлении страницы в сислоге появляется запись лога mangle (с маркировкой) и очень редко что-то из nat (только SYN).
В примере несколько раз обновил страницу:
(Нажмите, чтобы показать/скрыть)
Объясните плз, в чём может быть проблема?
вывод iptables-save:
Код: [Выделить]
# Generated by iptables-save v1.4.18 on Thu Jan 16 16:47:18 2014
*raw
:PREROUTING ACCEPT [8:576]
:OUTPUT ACCEPT [6:745]
COMMIT
# Completed on Thu Jan 16 16:47:18 2014
# Generated by iptables-save v1.4.18 on Thu Jan 16 16:47:18 2014
*mangle
:PREROUTING ACCEPT [7:536]
:INPUT ACCEPT [7:536]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12:1449]
:POSTROUTING ACCEPT [12:1449]
-A PREROUTING -m string --string "test" --algo kmp --to 65535 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -m mark --mark 0x1 -j LOG
COMMIT
# Completed on Thu Jan 16 16:47:18 2014
# Generated by iptables-save v1.4.18 on Thu Jan 16 16:47:18 2014
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -j LOG
COMMIT
# Completed on Thu Jan 16 16:47:18 2014
# Generated by iptables-save v1.4.18 on Thu Jan 16 16:47:18 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 10.90.0.3/32 -i tun0 -m state --state NEW -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -d 10.90.0.0/16 -o tun0 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Jan 16 16:47:18 2014
Пользователь решил продолжить мысль 16 Января 2014, 21:11:22:
Сам себе и отвечу - проблема в том, что правило PREROUTING таблицы nat срабатывает ТОЛЬКО ОДИН раз при первоначальном пакете (а это, к слову, SYN, в котором нет упоминания об url).
Все остальные пакеты PREROUTING таблицы nat не проходят, а сразу подменяются адреса по анологии.
« Последнее редактирование: 16 Января 2014, 21:12:36 от SveRussian »
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.021 секунд. Запросов: 22.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.