Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: iptables и mark packets  (Прочитано 1210 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ulan44

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
    • Просмотр профиля
iptables и mark packets
« : 10 Января 2016, 17:09:57 »
доброго времени суток комрады.
Раньше всегда обходился стандартными правилами iptables accept drop reject maquerade и прочее все остальное делал через route или 2iproute.
От буквально вчера столкнулся с такой штукой как маркировка пакетов и пока еще не до конца вьехал как реализовать данную задачу.
Допустим есть некий трафик который ходит по 443 порту допустим на ресурс https://mydomen.ru и есть подсеть 172.16.0.0/24 так вот
нужно для этой подсети открыть доступ только на ресурс https://mydomen.ru по порту 443, а весь остальной трафик который идет по 443 порту отправлять на сервер авторизации 172.16.0.1

Пока дошел только до таких правил весь маркированный трафик 99 по порту 80 и 443 отправляется на сервер 172.16.0.1

$IPT -N internet -t mangle
$IPT -t mangle -A PREROUTING -j internet
$IPT -t mangle -A internet -j MARK --set-mark 99
$IPT -t nat -A PREROUTING -m mark --mark 99 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.1
$IPT -t nat -A PREROUTING -m mark --mark 99 -p tcp --dport 443 -j DNAT --to-destination 172.16.0.1:443

А остальное пока не додумал как сделать. Предполагаю что будет что-то вроде

$IPT -N localnet -t mangle
$IPT -t mangle -A PREROUTING -j localnet
$IPT -t mangle -A localnet -j MARK --set-mark 100

$IPT -t mangle -A localnet -p tcp -s mydomen.ru --dport 443 а что дальше без понятия
« Последнее редактирование: 10 Января 2016, 17:28:24 от Дмитрий Бо »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: iptables и mark packets
« Ответ #1 : 10 Января 2016, 17:37:34 »
Зачем вообще вы это делаете?…
Вы описали все правила, которые вам нужны, а код показываете совершенно какой-то не от мира сего.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ulan44

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
    • Просмотр профиля
Re: iptables и mark packets
« Ответ #2 : 10 Января 2016, 17:49:38 »
Делается для гостевого wifi в организации.
Да можно сделать простыми правилами, но так как я с маркировкой пакетов не сталкивался, хотелось бы разобраться на практике, да я знаю читайте маны, но есть данный пример который я описал выше. Если это сделать не возможно тогда вопрос снят. И тему можно закрыть.
А так все для общего развития.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: iptables и mark packets
« Ответ #3 : 10 Января 2016, 18:07:19 »
Вопрос был, зачем вы морочите себе голову маркировками?…
Маркировать пакеты приходится настолько редко, что это даже не смешно.
И, да, на случай, если вы не знали - все эти маркировки строго локальны.
Если вам нужна изолящия гостевой сети от сети организации, для этого есть VLAN.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.028 секунд. Запросов: 25.