|
|
Besucher 727664
Ansichten 2101
Online 0 |
|
|
iptables - mangle - Probleme (--set-mark)
| |
| Thema |
Verfasser |
Letzte Antwort |
| iptables - mangle - Probleme (--set-mark) |
msm-projects ( ---.im-blumenhof.net) |
7 Dec 2007 06:10 | Wir nutzen iptables für ein Netzwerk mit mehreren öffentlichen Internet-IP-Adressen an einem DSL16000-Anschluss. Dahinter befindet sich ein Rechner mit mehreren Netzwerkkarten.
Unter Debian Sarge (Kernel 2.6.8) und iptables 1.3.5 funktionierte unsere "mangle"-Konfiguration problemlos, d.h. es war möglich, die SourceIP auf dem jeweiligen LAN-Port des Benutzers nach aussen umzuschreiben, so dass jeder Anwender seine "eigene" IP hatte (sehr gut für Logging).
Seit dem Update auf Debian Etch (Kernel 2.6.18) und iptables 1.3.6 funktioniert das Rewriting der SourceIP nicht mehr.
Alle anderen eingesetzten Rules scheinen zu funktionieren.
Wo ist die Ursache zu suchen? |
| ||
| RE: iptables - mangle - Probleme (--set-mark) | Ralf ( ---.dip.t-dialin.net) | 12 Nov 2007 11:47 |
Kannst Du das ein wenig genauer schildern. Welche Regeln funktionieren nicht mehr? Hast Du ein Beispiel?
Gruß,
Ralf
| | RE: RE: iptables - mangle - Probleme (--set-mark) | msm-projects ( ---.225.112.236) | 5 Dec 2007 08:30 |
Folgendes Scenario:
Debian Sarge mit Kernel - 2.6.8-3-386; mit Hilfe von Markierungen an den DatenPaketen werden diese mit erschiedenen Source-IP's abgesandt. An meinem DSL-Anschluss habe ich eine feste IP-Adresse und zusätzlich ein 8er Netz. Die Adressen des 8er Netzes sind am eth0 (an dem das DSL-Modem hängt) als VIP's konfiguriert. So weit, so gut.
Nun habe ich auf ein Upgrade auf Etch (Kernel 2.6.18-5-486) durchgeführt und bezüglich der Firewall-Regeln und dem Routing alle Einstellungen beibehalten. Leider funktioniert mein Routing nicht mehr so wie vorher. Alle Verbindungen werden über die Default-Adresse abgesandt.
FW-Regeln:
...
$IPTABLES -A FORWARD -i $ilan0 -o $wan -m state --state
ESTABLISHED,RELATED,NEW -j ACCEPT
$IPTABLES -A FORWARD -i $wan -o $ilan0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $ilan1 -o $wan -m state --state
ESTABLISHED,RELATED,NEW -j ACCEPT
$IPTABLES -A FORWARD -i $wan -o $ilan1 -m state --state
ESTABLISHED,RELATED -j ACCEPT
...
$IPTABLES -A PREROUTING -i $ilan1 -t mangle -p tcp -j MARK --set-mark 2
$IPTABLES -A PREROUTING -i $ilan1 -t mangle -p udp -j MARK --set-mark 2
$IPTABLES -A PREROUTING -i $ilan1 -t mangle -p icmp -j MARK --set-mark 2
$IPTABLES -A PREROUTING -i $ilan2 -t mangle -p tcp -j MARK --set-mark 3
$IPTABLES -A PREROUTING -i $ilan2 -t mangle -p udp -j MARK --set-mark 3
$IPTABLES -A PREROUTING -i $ilan2 -t mangle -p icmp -j MARK --set-mark 3
...
Ausgabe von: ip rule ls
0: from all lookup 255
32760: from all fwmark 0x6 lookup ilan5.out
32761: from all fwmark 0x5 lookup ilan4.out
32762: from all fwmark 0x4 lookup ilan3.out
32763: from all fwmark 0x3 lookup ilan2.out
32764: from all fwmark 0x2 lookup ilan1.out
32765: from all fwmark 0x1 lookup ilan0.out
32766: from all lookup main
32767: from all lookup default
Ausgabe von: ip route show table ilan1.out
default via 213.9.XXX.XXX dev ppp0 src 213.9.XX.XXX | | RE: RE: RE: iptables - mangle - Probleme (--set-mark) | Ralf ( ---.dip.t-dialin.net) | 7 Dec 2007 06:10 |
Verstehe ich dass richtig. Du möchtest NAT machen? Warum benutzt Du nicht POSTROUTING und SNAT?
Gruß,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: