Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Problem z markowaniem pakietów (2 łącza) http://forum.freesco.pl/viewtopic.php?f=22&t=12147 |
Strona 1 z 3 |
Autor: | gonzolot [ czwartek, 20 kwietnia 2006, 01:25 ] |
Tytuł: | Problem z markowaniem pakietów (2 łącza) |
Witam, mam 2xDSL, próbuję zrobić podział na usługi, przewertowałem trochę rozwiązań na ten temat, jednak nie udało mi się zrobić czegoś podobnego u siebie. Wszystkie polecenia ip route są wg mnie ok, problem tkwi prawdopodobnie w iptables, tak jakby nie zaznaczało pakietów, albo zaznaczało, ale dalej już nic z nimi nie robiło.. Jeśli dodam regułkę przepuszczającą wszystko z komputera o podanym IP (np 192.168.1.10) na trasę w tablicy routingu "woj", internet na komputerze 192.168.1.10 działa prawidłowo: ip rule add from 192.168.1.10 table woj Natomiast jeśli wpiszę: ip rule add fwmark 0x1000 table woj wtedy komputer o adresie 192.168.1.10 nie ma netu. Wpis iptables (jedyny w moim skrypcie, reszta niezmieniona w standardowym firewallu) odpowiadający za przekierowanie portu 80 (dopisuję go na końcu pliku uruchamiającego 2łącza, po wszystkich ip route i ip rule): iptables -t mangle -A PREROUTING -s 192.168.1.10 -p tcp --dport 80 -j MARK --set-mark 0x1000 Siedzę nad tym już n-tą godzinę i nie mogę dojść co jest nie tak ![]() Firewall mam standardowy z NND, wersja iptables z repozytorium testowego 1.3.4-6nnd. Proszę, pomóżcie.. Pozdrawiam. [/url] |
Autor: | Albercik [ czwartek, 20 kwietnia 2006, 07:48 ] |
Tytuł: | |
Za mało danych : pokaz skrypt do podziału na dwa łącza . |
Autor: | gonzolot [ czwartek, 20 kwietnia 2006, 11:08 ] |
Tytuł: | |
#!/bin/sh IF0="eth1" # sieciowka z LAN IF1="eth0" # DSL 1 IF2="eth2" # DSL 2 IP0="192.168.1.1" #IP serwera od strony LAN IP1="83.15.47.98" IP2="83.16.218.214" IP0_NET="255.255.255.0" IP1_NET="255.255.255.252" IP2_NET="255.255.255.252" IP0_BC="192.168.1.255" IP1_BC="83.15.47.99" #BROADCAST IP2_BC="83.16.218.215" P0="192.168.1.1" P1="83.15.47.97" #BRAMKA P2="83.16.218.213" P0_NET="192.168.1.0/24" P1_NET="83.15.47.96/30" #ADRES SIECI P2_NET="83.16.218.212/30" ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC #route add -net $P0_NET dev $IF0 ip route del default ip route del table woj ip route add default via $P2 dev $IF2 ip route add $P1_NET src $IP1 via $P1 dev $IF1 table woj ip route add default via $P1 dev $IF1 table woj #odkomentowanie poniższego powoduje, że mam neta na kompie 192.168.1.10 #ip rule add from 192.168.1.10 table woj ip rule add fwmark 0x1000 table woj ip route flush cache # IPTABLES (zahaszowane wersje poleceń również nie przyniosły spodziewanego rezultatu (internet na 192.168.1.10) iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j SNAT --to $IP1 iptables -t nat -A POSTROUTING -s $P0_NET -o $IF2 -j SNAT --to $IP2 #iptables -t nat -A POSTROUTING -s $P0_NET -d! $P0_NET -o $IF1 -j SNAT --to $IP1 #iptables -t nat -A POSTROUTING -s $P0_NET -d! $P0_NET -o $IF2 -j SNAT --to $IP2 # ping iptables -t mangle -A PREROUTING -i $IF0 -p icmp -j MARK --set-mark 0x1000 # www iptables -t mangle -A PREROUTING -s 192.168.1.10 -p tcp --dport 80 -j MARK --set-mark 0x1000 #iptables -t mangle -A PREROUTING -p tcp --dport 1:50000 -j MARK --set-mark 0x1000 #iptables -t mangle -A PREROUTING -p tcp --dport 80 -j RETURN iptables -t mangle -A PREROUTING -s 192.168.1.10 -p udp --dport 80 -j MARK --set-mark 0x1000 #iptables -t mangle -A PREROUTING -p udp --dport 1:50000 -j MARK --set-mark 0x1000 #iptables -t mangle -A PREROUTING -p udp --dport 80 -j RETURN #iptables -t mangle -A PREROUTING -s 192.168.1.10 -j RETURN |
Autor: | gonzolot [ sobota, 22 kwietnia 2006, 07:30 ] |
Tytuł: | |
Czy jakieś regułki standardowego firewalla NND mogłyby blokować ruch na porcie 80?? Podopisywałem w firewallu wszędzie tam gdzie było EXTIF drugie zewn. łącze EXTIF2 (interfejs eth2), ale też nic to nie dało, netu na komputerze 192.168.1.10 nadal nie ma, co ciekawe ping na zewnątrz wychodzi z niego. Dodałem też czyszczenie tablicy nat przed wpisami o maskowaniu w moim skrypcie, jeśli wyczyściłem mangle i filter, to nawet ping nie idzie, jeśli w moim skrypcie zahaszuje regułkę z markowaniem icmp, to ping też nie wychodzi na zewnątrz, więc markowanie chyba działa, więc dlaczego nie działa mi internet w przeglądarce. Powtórzę, że jeśli dodam regułkę: ip rule add from 192.168.1.10 table woj to wszystko działa ok, więc na pewno nie jest to wina konfiguracji komputera o ip 192.168.1.10... |
Autor: | Albercik [ sobota, 22 kwietnia 2006, 11:03 ] |
Tytuł: | |
gonzolot pisze: Czy jakieś regułki standardowego firewalla NND mogłyby blokować ruch na porcie 80??
Podopisywałem w firewallu wszędzie tam gdzie było EXTIF drugie zewn. łącze EXTIF2 (interfejs eth2), ale też nic to nie dało, netu na komputerze 192.168.1.10 nadal nie ma, co ciekawe ping na zewnątrz wychodzi z niego. Dodałem też czyszczenie tablicy nat przed wpisami o maskowaniu w moim skrypcie, jeśli wyczyściłem mangle i filter, to nawet ping nie idzie, jeśli w moim skrypcie zahaszuje regułkę z markowaniem icmp, to ping też nie wychodzi na zewnątrz, więc markowanie chyba działa, więc dlaczego nie działa mi internet w przeglądarce. Powtórzę, że jeśli dodam regułkę: ip rule add from 192.168.1.10 table woj to wszystko działa ok, więc na pewno nie jest to wina konfiguracji komputera o ip 192.168.1.10... Nie markuje Ci prawidłowo . Po pierwsze : linijki z ifconfig wklej na początku , po drugie markuj heksadecymalnie , ale markiem poniżej 1000 , np 999 . |
Autor: | gonzolot [ niedziela, 23 kwietnia 2006, 01:59 ] |
Tytuł: | |
Rany,ale ze mnie tępak.. po wielu zmianach w skrypcie w końcu błysnęło światełko i to prawie na pewno to było przyczyną, że net nie działał, ale ping przechodził.. Nie dodałem markowania portu 53 (dns) ![]() Dziękuje wszystkim, którzy starali się czytać i analizować moje wypociny, już mi działa jak należy ![]() |
Autor: | -MW- [ niedziela, 23 kwietnia 2006, 17:49 ] |
Tytuł: | |
no to zamisc poprawny - dzialajacy skrypt, komus sie przyda ![]() |
Autor: | gonzolot [ wtorek, 25 kwietnia 2006, 19:07 ] |
Tytuł: | |
#!/bin/sh # SKRYPT DO PODZIALU 2 LACZ DSL NA USLUGI. # W MOIM PRZYPADKU INSTALOWALEM NND 0.1 Z LIPCA (W WERSJI SCSI), # PONIEWAZ WERSJA 0.2 NIE CHCIALA SIE URUCHOMIC NA MOIM KONTROLERZE SCSI ADAPTECA, # DLATEGO SCIAGALEM DODATKOWO KERNEL OBSLUGUJACY 2 LACZA. # WYKONAŁEM INSTRUKCJE: (JESLI MASZ ZAINSTALOWANA WERSJE NND 0.2, TO # PRAWDOPODOBNIE NIE MUSISZ ICH WYKONYWAC, # BO NND W WERSJI 0.2 MA JUZ OBSLUGE WIELU LACZY) # wget http://devel-nnd.brb.pl/nnd/repo.test/kernel24-scsi-2.4.32-8nnd.pkg.tar.gz # pacman -U kernel24-scsi-2.4.32-8nnd.pkg.tar.gz # wget http://devel-nnd.brb.pl/nnd/repo.test/iptables-1.3.4-8nnd.pkg.tar.gz # pacman -U iptables-1.3.4-8nnd.pkg.tar.gz # lilo -v # reboot # UWAGA! POCZATKOWA KONFIGURACJA SIECI Z JEDNYM DSL BYLA ROBIONA # KONFIGURATOREM NNDCONF.NASTEPNIE W STANDARDOWYM PLIKU # FIREWALLA /etc/iptables/firewall WSZEDZIE TAM GDZIE # WYSTEPOWALO $EXTIF DODALEM DODATKOWE WIERSZE ZAMIENIAJAC # WPIS $EXTIF NA $EXTIF2,BY FIREWALL UWZGLEDNIAL OBA INTERFEJSY Z DSL, # ZMIENNA EXTIF2 DOPISALEM TAKZE W /etc/rc.conf (EXTIF2="eth2") # UWAGA! ABY SKRYPT DZIAŁAŁ POPRAWNIE NALEŻY DODAĆ DO PLIKU # /etc/iproute2/rt_tables WPIS: 250 www IF0="eth1" # LAN IF1="eth0" # DSL1 www,poczta,ping,itp IF2="eth2" # DSL2 lacze p2p i reszta pakietow nieoznakowanych IP0="192.168.1.1" #IP IP1="83.xx.xx.98" IP2="83.xx.xx.214" IP0_NET="255.255.255.0" # MASKA IP1_NET="255.255.255.252" IP2_NET="255.255.255.252" IP0_BC="192.168.1.255" #BROADCAST IP1_BC="83.xx.xx.99" IP2_BC="83.xx.xx.215" P1="83.xx.xx.97" #BRAMKA P2="83.xx.xx.213" P0_NET="192.168.1.0/24" #ADRES SIECI P1_NET="83.xx.xx.96/30" P2_NET="83.xx.xx.212/30" ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC # ZMIEJSZENIE TIMEOUT-OW DLA ODPOWIEDNICH PAKIETOW DO GRANIC AKCEPTOWALNYCH # PRZEZ NIEKTORE PROGRAMY echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack ip route del default ip route del table www ip route add default via $P2 dev $IF2 ip route add $P1_NET src $IP1 dev $IF1 table www ip route add $P0_NET src $IP0 dev $IF0 table www ip route add default via $P1 dev $IF1 table www ip rule del fwmark 0x800 table www ip rule add fwmark 0x800 table www ip rule del fwmark 0x900 table main ip rule add fwmark 0x900 table main ip route flush cache # CZYSZCZENIE WPISOW W TABLICY MANGLE iptables -F -t mangle iptables -X -t mangle # OGRANICZENIE ILOSCI AKTYWNYCH POLACZEN TCP iptables -t mangle -A FORWARD -p tcp -m connlimit --connlimit-above 60 -j DROP # PRZYWROCENIE WARTOSCI MARK DLA NAWIAZANYCH POLACZEN iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark # JESLI SIE OKAZE,ZE JAKIES P2P NIE DZIALAJA NA PORTACH PREFEROWANYCH, # TO ZOSTANA ZAZNACZONE I PRZEKAZANE NA LACZE DLA P2P iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x900 # ZACHOWANIE DLA POTOMNYCH iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x900 -j CONNMARK --save-mark # JESLI JAKIS PAKIET JEST JUZ OZNACZONY,TO WYCHODZI Z MANGLE DO NASTEPNEJ TABLICY iptables -t mangle -A PREROUTING -m mark ! --mark 0x0 -j RETURN # PING iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x800 # DNS iptables -t mangle -A PREROUTING -p tcp --dport 53 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 53 -j MARK --set-mark 0x800 # SSH iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 22 -j MARK --set-mark 0x800 # TELNET iptables -t mangle -A PREROUTING -p tcp --dport 23 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 23 -j MARK --set-mark 0x800 # WWW iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 80 -j MARK --set-mark 0x800 # WWW SZYFROWANE I TLEN iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 443 -j MARK --set-mark 0x800 # GADU GADU iptables -t mangle -A PREROUTING -p tcp --dport 8074 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 8074 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 1550 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 1550 -j MARK --set-mark 0x800 # POCZTA iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 110 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 993 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 995 -j MARK --set-mark 0x800 # FTP iptables -t mangle -A PREROUTING -p tcp --dport 20 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 21 -j MARK --set-mark 0x800 # USENET iptables -t mangle -A PREROUTING -p tcp --dport 119 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 119 -j MARK --set-mark 0x800 # IRC iptables -t mangle -A PREROUTING -p tcp --dport 6666:6668 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 6666:6668 -j MARK --set-mark 0x800 # MINIGRY ONLINE iptables -t mangle -A PREROUTING -p tcp --dport 5000:5100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 5000:5100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 17000:17100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 17000:17100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 8000:8100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 8000:8100 -j MARK --set-mark 0x800 # TIBIA (GRA ONLINE) iptables -t mangle -A PREROUTING -p tcp --dport 7171 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 7171 -j MARK --set-mark 0x800 # ZACHOWANIE ZAZNACZEN DLA POTOMNYCH iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x800 -j CONNMARK --save-mark |
Autor: | barte-k [ wtorek, 25 kwietnia 2006, 23:28 ] |
Tytuł: | |
Mam pytanie. Gdzie takie skrypty należy zgrywać? Czy wystarczy "byle gdzie" +chmod 777 i wpis do rc.local? |
Autor: | dawidmo [ wtorek, 25 kwietnia 2006, 23:34 ] |
Tytuł: | |
barte-k pisze: Czy wystarczy "byle gdzie" +chmod 777 i wpis do rc.local?
Nie byle gdzie bo to przecież nie ..., polecałbym skrytpy dawać do /usr/local/bin, i chmod 755 wystarczy, tzn chmoda 777 się nie nadaje, bo to tak jak by pracowac na codzień jako root ![]() |
Autor: | barte-k [ środa, 26 kwietnia 2006, 00:27 ] |
Tytuł: | |
Pisząc "byle gdzie" nie mialem namysli byle gdzie, tylko np /etc/rc.d/. Chodzilo mi o to czy jest jakies specjalne miejsce na teaki skrypt, ale chyba "nie ma" to znaczenia, gdzie bedzie zapisany ... Co mi z 755 maniaku bezpieczenstwa jak kazdy moze plik wg tego uprawienia odczytac i zapisac(zmienic)? Jak juz dajesz bezpieczne rady to napisz 744 albo 700 ![]() ![]() Pozdrawiam serdecznie ![]() |
Autor: | dawidmo [ środa, 26 kwietnia 2006, 07:51 ] |
Tytuł: | |
barte-k pisze: .
Co mi z 755 maniaku bezpieczenstwa jak kazdy moze plik wg tego uprawienia odczytac i zapisac(zmienic)? Jak juz dajesz bezpieczne rady to napisz 744 albo 700 ![]() ![]() Zdaje ci sie, przy 777 może kazdy zmienić, przy 755 tylko wykonać, itd, nie chce mi sie pisać ![]() |
Autor: | barte-k [ środa, 26 kwietnia 2006, 10:44 ] |
Tytuł: | |
Fakt - pomylilo mi sie, a to dlatego, ze na co dzien zamiast cyferek wole literki. Mniejsza o to. Ja chcialem sie zapytac jeszcze autora skryptu, bo pisalem swoj podobny i w sumie troszke pozyczylem od Ciebie. W iec zapytuje, jak sie ma do tego niceshaper z serii 0.5 ? |
Autor: | tasiorek [ środa, 26 kwietnia 2006, 16:22 ] |
Tytuł: | |
barte-k pisze: W iec zapytuje, jak sie ma do tego niceshaper z serii 0.5 ?
Nie dziala. W ktoryms opisie LB podalem rozwiazanie podzialu lacza. |
Autor: | marcin w [ czwartek, 28 września 2006, 10:50 ] |
Tytuł: | |
Oto moja konfiguracja: IF0="eth1" # LAN IF1="eth0" # DSL1 www,poczta,ping,itp IF2="eth2" # DSL2 lacze p2p i reszta pakietow nieoznakowanych IP0="192.168.1.1" #IP IP1="82.197.55.123" IP2="82.197.55.125" IP0_NET="255.255.255.0" # MASKA IP1_NET="255.255.255.248" IP2_NET="255.255.255.248" IP0_BC="192.168.1.255" #BROADCAST IP1_BC="82.197.55.127" IP2_BC="82.197.55.127" P1="82.197.55.121" #BRAMKA P2="82.197.55.121" P0_NET="192.168.1.0/24" #ADRES SIECI P1_NET="82.197.55.123/29" P2_NET="82.197.55.125/29" ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC # ZMIEJSZENIE TIMEOUT-OW DLA ODPOWIEDNICH PAKIETOW DO GRANIC AKCEPTOWALNYCH # PRZEZ NIEKTORE PROGRAMY echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack ip route del default ip route del table www ip route add default via $P2 dev $IF2 ip route add $P1_NET src $IP1 dev $IF1 table www ip route add $P0_NET src $IP0 dev $IF0 table www ip route add default via $P1 dev $IF1 table www ip rule del fwmark 0x800 table www ip rule add fwmark 0x800 table www ip rule del fwmark 0x900 table main ip rule add fwmark 0x900 table main ip route flush cache # CZYSZCZENIE WPISOW W TABLICY MANGLE iptables -F -t mangle iptables -X -t mangle iptables -t nat -A POSTROUTING -o $IF1 -s $P0_NET -j SNAT --to $IP1 iptables -t nat -A POSTROUTING -o $IF2 -s $P0_NET -j SNAT --to $IP2 # OGRANICZENIE ILOSCI AKTYWNYCH POLACZEN TCP iptables -t mangle -A FORWARD -p tcp -m connlimit --connlimit-above 60 -j DROP # PRZYWROCENIE WARTOSCI MARK DLA NAWIAZANYCH POLACZEN iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark # JESLI SIE OKAZE,ZE JAKIES P2P NIE DZIALAJA NA PORTACH PREFEROWANYCH, # TO ZOSTANA ZAZNACZONE I PRZEKAZANE NA LACZE DLA P2P iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x900 # ZACHOWANIE DLA POTOMNYCH iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x900 -j CONNMARK --save-mark # JESLI JAKIS PAKIET JEST JUZ OZNACZONY,TO WYCHODZI Z MANGLE DO NASTEPNEJ TABLICY iptables -t mangle -A PREROUTING -m mark ! --mark 0x0 -j RETURN # PING iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x800 # DNS iptables -t mangle -A PREROUTING -p tcp --dport 53 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 53 -j MARK --set-mark 0x800 # SSH iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 22 -j MARK --set-mark 0x800 # TELNET iptables -t mangle -A PREROUTING -p tcp --dport 23 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 23 -j MARK --set-mark 0x800 # WWW iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 80 -j MARK --set-mark 0x800 # WWW SZYFROWANE I TLEN iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 443 -j MARK --set-mark 0x800 # GADU GADU iptables -t mangle -A PREROUTING -p tcp --dport 8074 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 8074 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 1550 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 1550 -j MARK --set-mark 0x800 # POCZTA iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 110 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 993 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 995 -j MARK --set-mark 0x800 # FTP iptables -t mangle -A PREROUTING -p tcp --dport 20 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 21 -j MARK --set-mark 0x800 # USENET iptables -t mangle -A PREROUTING -p tcp --dport 119 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 119 -j MARK --set-mark 0x800 # IRC iptables -t mangle -A PREROUTING -p tcp --dport 6666:6668 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 6666:6668 -j MARK --set-mark 0x800 # MINIGRY ONLINE iptables -t mangle -A PREROUTING -p tcp --dport 5000:5100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 5000:5100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 17000:17100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 17000:17100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p tcp --dport 8000:8100 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 8000:8100 -j MARK --set-mark 0x800 # TIBIA (GRA ONLINE) iptables -t mangle -A PREROUTING -p tcp --dport 7171 -j MARK --set-mark 0x800 iptables -t mangle -A PREROUTING -p udp --dport 7171 -j MARK --set-mark 0x800 # ZACHOWANIE ZAZNACZEN DLA POTOMNYCH iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x800 -j CONNMARK --save-mark Podczas startu skrypt zwraca następujący komunikat: RTNETLINK answers: no such process RTNETLINK answers: no such process RTNETLINK answers: invalid argument RTNETLINK answers: no such process RTNETLINK answers: no such process Zainstalowałem kernel 2.4.32-10, iproute mam w wersji iproute-020116-2nnd, do /etc/iproute2/rt_tables dodałem wpis: 250 www, podczas startu uruchamia się tylko ten sktypt, nie uruchamiam natomiast: internet, lan, iptables (w rc.conf odznaczyłem je). W lanie internetu nie ma, co ja w tym źle robie. |
Autor: | gonzolot [ czwartek, 28 września 2006, 11:41 ] |
Tytuł: | |
Należy jeszcze umieścić 0 w plikach rp_filter, czyli: |
Autor: | marcin w [ czwartek, 28 września 2006, 12:23 ] |
Tytuł: | |
Dodałem ten wpis tuż po liniach: ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC Ale internetu w lanie dalej nie ma, podczas startu dalej mam komunikat: RTNETLINK answers: no such process RTNETLINK answers: no such process RTNETLINK answers: invalid argument RTNETLINK answers: no such process RTNETLINK answers: no such process Jakiś problem jest z IPROUTE ![]() |
Autor: | marcin w [ czwartek, 28 września 2006, 23:18 ] |
Tytuł: | |
Udało mi się zrealizować, do prawidłowego działania należało tylko przełączyć opcję jądra na tryb pracy routera: Choć wszystko już działa, podczas startu pojawia się komunikat ze skryptu podnoszącego interfejsy sieciowe i ustalającego tabele routingu RTNETLINK answers: no such process RTNETLINK answers: no such process RTNETLINK answers: invalid argument RTNETLINK answers: no such process RTNETLINK answers: no such process Z czego to może wynikać ![]() |
Autor: | oizu [ sobota, 30 września 2006, 02:17 ] |
Tytuł: | |
A czym to dzielisz? |
Autor: | oizu [ sobota, 30 września 2006, 02:29 ] |
Tytuł: | |
Cytuj: IF0="eth1" # LAN
IF1="eth0" # DSL1 www,poczta,ping,itp IF2="eth2" # DSL2 lacze p2p i reszta pakietow nieoznakowanych IP0="192.168.1.1" #IP IP1="82.197.55.123" IP2="82.197.55.125" IP0_NET="255.255.255.0" # MASKA IP1_NET="255.255.255.248" IP2_NET="255.255.255.248" IP0_BC="192.168.1.255" #BROADCAST IP1_BC="82.197.55.127" IP2_BC="82.197.55.127" P1="82.197.55.121" #BRAMKA P2="82.197.55.121" P0_NET="192.168.1.0/24" #ADRES SIECI P1_NET="82.197.55.123/29" P2_NET="82.197.55.125/29" sprawdz wszystko dobrze , bo coś misię tu powtarza... ![]() no izawsze sptawdz sobie : ifconfig |
Strona 1 z 3 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |