Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Problem z markowaniem pakietów (2 łącza)
http://forum.freesco.pl/viewtopic.php?f=22&t=12147
Strona 1 z 3

Autor:  gonzolot [ czwartek, 20 kwietnia 2006, 01:25 ]
Tytuł:  Problem z markowaniem pakietów (2 łącza)

Witam,
mam 2xDSL, próbuję zrobić podział na usługi, przewertowałem trochę rozwiązań na ten temat, jednak nie udało mi się zrobić czegoś podobnego u siebie.
Wszystkie polecenia ip route są wg mnie ok, problem tkwi prawdopodobnie w iptables, tak jakby nie zaznaczało pakietów, albo zaznaczało, ale dalej już nic z nimi nie robiło..
Jeśli dodam regułkę przepuszczającą wszystko z komputera o podanym IP (np 192.168.1.10) na trasę w tablicy routingu "woj", internet na komputerze 192.168.1.10 działa prawidłowo:
ip rule add from 192.168.1.10 table woj

Natomiast jeśli wpiszę:
ip rule add fwmark 0x1000 table woj

wtedy komputer o adresie 192.168.1.10 nie ma netu.

Wpis iptables (jedyny w moim skrypcie, reszta niezmieniona w standardowym firewallu) odpowiadający za przekierowanie portu 80 (dopisuję go na końcu pliku uruchamiającego 2łącza, po wszystkich ip route i ip rule):
iptables -t mangle -A PREROUTING -s 192.168.1.10 -p tcp --dport 80 -j MARK --set-mark 0x1000

Siedzę nad tym już n-tą godzinę i nie mogę dojść co jest nie tak :(
Firewall mam standardowy z NND, wersja iptables z repozytorium testowego 1.3.4-6nnd.

Proszę, pomóżcie..

Pozdrawiam.




[/url]

Autor:  Albercik [ czwartek, 20 kwietnia 2006, 07:48 ]
Tytuł: 

Za mało danych : pokaz skrypt do podziału na dwa łącza .

Autor:  gonzolot [ czwartek, 20 kwietnia 2006, 11:08 ]
Tytuł: 

: [/] [] ()
#!/bin/sh

IF0="eth1" # sieciowka z LAN
IF1="eth0" # DSL 1
IF2="eth2" # DSL 2
IP0="192.168.1.1" #IP serwera od strony LAN
IP1="83.15.47.98"
IP2="83.16.218.214"
IP0_NET="255.255.255.0"
IP1_NET="255.255.255.252"
IP2_NET="255.255.255.252"
IP0_BC="192.168.1.255"
IP1_BC="83.15.47.99" #BROADCAST
IP2_BC="83.16.218.215"
P0="192.168.1.1"
P1="83.15.47.97" #BRAMKA
P2="83.16.218.213"
P0_NET="192.168.1.0/24"
P1_NET="83.15.47.96/30" #ADRES SIECI
P2_NET="83.16.218.212/30"
ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC
ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC
ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC

#route add -net $P0_NET dev $IF0

ip route del default
ip route del table woj
ip route add default via $P2 dev $IF2
ip route add $P1_NET src $IP1 via $P1 dev $IF1 table woj
ip route add default via $P1 dev $IF1 table woj

#odkomentowanie poniższego powoduje, że mam neta na kompie 192.168.1.10
#ip rule add from 192.168.1.10 table woj

ip rule add fwmark 0x1000 table woj
ip route flush cache

# IPTABLES (zahaszowane wersje poleceń również nie przyniosły spodziewanego rezultatu (internet na

192.168.1.10)
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j SNAT --to $IP1
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF2 -j SNAT --to $IP2
#iptables -t nat -A POSTROUTING -s $P0_NET -d! $P0_NET -o $IF1 -j SNAT --to $IP1
#iptables -t nat -A POSTROUTING -s $P0_NET -d! $P0_NET -o $IF2 -j SNAT --to $IP2

# ping
iptables -t mangle -A PREROUTING -i $IF0 -p icmp -j MARK --set-mark 0x1000

# www
iptables -t mangle -A PREROUTING -s 192.168.1.10 -p tcp --dport 80 -j MARK --set-mark 0x1000

#iptables -t mangle -A PREROUTING -p tcp --dport 1:50000 -j MARK --set-mark 0x1000
#iptables -t mangle -A PREROUTING -p tcp --dport 80 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.1.10 -p udp --dport 80 -j MARK --set-mark 0x1000

#iptables -t mangle -A PREROUTING -p udp --dport 1:50000 -j MARK --set-mark 0x1000
#iptables -t mangle -A PREROUTING -p udp --dport 80 -j RETURN
#iptables -t mangle -A PREROUTING -s 192.168.1.10 -j RETURN

Autor:  gonzolot [ sobota, 22 kwietnia 2006, 07:30 ]
Tytuł: 

Czy jakieś regułki standardowego firewalla NND mogłyby blokować ruch na porcie 80??
Podopisywałem w firewallu wszędzie tam gdzie było EXTIF drugie zewn. łącze EXTIF2 (interfejs eth2), ale też nic to nie dało, netu na komputerze 192.168.1.10 nadal nie ma, co ciekawe ping na zewnątrz wychodzi z niego. Dodałem też czyszczenie tablicy nat przed wpisami o maskowaniu w moim skrypcie, jeśli wyczyściłem mangle i filter, to nawet ping nie idzie, jeśli w moim skrypcie zahaszuje regułkę z markowaniem icmp, to ping też nie wychodzi na zewnątrz, więc markowanie chyba działa, więc dlaczego nie działa mi internet w przeglądarce.
Powtórzę, że jeśli dodam regułkę:

ip rule add from 192.168.1.10 table woj

to wszystko działa ok, więc na pewno nie jest to wina konfiguracji komputera o ip 192.168.1.10...

Autor:  Albercik [ sobota, 22 kwietnia 2006, 11:03 ]
Tytuł: 

gonzolot pisze:
Czy jakieś regułki standardowego firewalla NND mogłyby blokować ruch na porcie 80??
Podopisywałem w firewallu wszędzie tam gdzie było EXTIF drugie zewn. łącze EXTIF2 (interfejs eth2), ale też nic to nie dało, netu na komputerze 192.168.1.10 nadal nie ma, co ciekawe ping na zewnątrz wychodzi z niego. Dodałem też czyszczenie tablicy nat przed wpisami o maskowaniu w moim skrypcie, jeśli wyczyściłem mangle i filter, to nawet ping nie idzie, jeśli w moim skrypcie zahaszuje regułkę z markowaniem icmp, to ping też nie wychodzi na zewnątrz, więc markowanie chyba działa, więc dlaczego nie działa mi internet w przeglądarce.
Powtórzę, że jeśli dodam regułkę:

ip rule add from 192.168.1.10 table woj

to wszystko działa ok, więc na pewno nie jest to wina konfiguracji komputera o ip 192.168.1.10...


Nie markuje Ci prawidłowo . Po pierwsze : linijki z ifconfig wklej na początku , po drugie markuj heksadecymalnie , ale markiem poniżej 1000 , np 999 .

Autor:  gonzolot [ niedziela, 23 kwietnia 2006, 01:59 ]
Tytuł: 

Rany,ale ze mnie tępak.. po wielu zmianach w skrypcie w końcu błysnęło światełko i to prawie na pewno to było przyczyną, że net nie działał, ale ping przechodził..
Nie dodałem markowania portu 53 (dns) :oops:
Dziękuje wszystkim, którzy starali się czytać i analizować moje wypociny, już mi działa jak należy :)

Autor:  -MW- [ niedziela, 23 kwietnia 2006, 17:49 ]
Tytuł: 

no to zamisc poprawny - dzialajacy skrypt, komus sie przyda :)

Autor:  gonzolot [ wtorek, 25 kwietnia 2006, 19:07 ]
Tytuł: 

: [/] [] ()
#!/bin/sh

# SKRYPT DO PODZIALU 2 LACZ DSL NA USLUGI.
# W MOIM PRZYPADKU INSTALOWALEM NND 0.1 Z LIPCA (W WERSJI SCSI),
# PONIEWAZ WERSJA 0.2 NIE CHCIALA SIE URUCHOMIC NA MOIM KONTROLERZE SCSI ADAPTECA,
# DLATEGO SCIAGALEM DODATKOWO KERNEL OBSLUGUJACY 2 LACZA.
# WYKONAŁEM INSTRUKCJE: (JESLI MASZ ZAINSTALOWANA WERSJE NND 0.2, TO
#          PRAWDOPODOBNIE NIE MUSISZ ICH WYKONYWAC,
#          BO NND W WERSJI 0.2 MA JUZ OBSLUGE WIELU LACZY)
#    wget http://devel-nnd.brb.pl/nnd/repo.test/kernel24-scsi-2.4.32-8nnd.pkg.tar.gz
#    pacman -U kernel24-scsi-2.4.32-8nnd.pkg.tar.gz
#    wget http://devel-nnd.brb.pl/nnd/repo.test/iptables-1.3.4-8nnd.pkg.tar.gz
#    pacman -U iptables-1.3.4-8nnd.pkg.tar.gz
#    lilo -v
#    reboot
# UWAGA! POCZATKOWA KONFIGURACJA SIECI Z JEDNYM DSL BYLA ROBIONA
#    KONFIGURATOREM NNDCONF.NASTEPNIE W STANDARDOWYM PLIKU
#    FIREWALLA /etc/iptables/firewall WSZEDZIE TAM GDZIE
#    WYSTEPOWALO $EXTIF DODALEM DODATKOWE WIERSZE ZAMIENIAJAC
#    WPIS $EXTIF NA $EXTIF2,BY FIREWALL UWZGLEDNIAL OBA INTERFEJSY Z DSL,
#    ZMIENNA EXTIF2 DOPISALEM TAKZE W /etc/rc.conf (EXTIF2="eth2")
# UWAGA! ABY SKRYPT DZIAŁAŁ POPRAWNIE NALEŻY DODAĆ DO PLIKU
#    /etc/iproute2/rt_tables WPIS: 250 www

IF0="eth1" # LAN
IF1="eth0" # DSL1 www,poczta,ping,itp
IF2="eth2" # DSL2 lacze p2p i reszta pakietow nieoznakowanych

IP0="192.168.1.1" #IP
IP1="83.xx.xx.98"
IP2="83.xx.xx.214"

IP0_NET="255.255.255.0" # MASKA
IP1_NET="255.255.255.252"
IP2_NET="255.255.255.252"

IP0_BC="192.168.1.255" #BROADCAST
IP1_BC="83.xx.xx.99"
IP2_BC="83.xx.xx.215"

P1="83.xx.xx.97" #BRAMKA
P2="83.xx.xx.213"

P0_NET="192.168.1.0/24" #ADRES SIECI
P1_NET="83.xx.xx.96/30"
P2_NET="83.xx.xx.212/30"

ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC
ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC
ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC

# ZMIEJSZENIE TIMEOUT-OW DLA ODPOWIEDNICH PAKIETOW DO GRANIC AKCEPTOWALNYCH
# PRZEZ NIEKTORE PROGRAMY
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack

ip route del default
ip route del table www

ip route add default via $P2 dev $IF2
ip route add $P1_NET src $IP1 dev $IF1 table www

ip route add $P0_NET src $IP0 dev $IF0 table www
ip route add default via $P1 dev $IF1 table www

ip rule del fwmark 0x800 table www
ip rule add fwmark 0x800 table www
ip rule del fwmark 0x900 table main
ip rule add fwmark 0x900 table main
ip route flush cache

# CZYSZCZENIE WPISOW W TABLICY MANGLE
iptables -F -t mangle
iptables -X -t mangle

# OGRANICZENIE ILOSCI AKTYWNYCH POLACZEN TCP
iptables -t mangle -A FORWARD -p tcp -m connlimit --connlimit-above 60 -j DROP

# PRZYWROCENIE WARTOSCI MARK DLA NAWIAZANYCH POLACZEN
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark

# JESLI SIE OKAZE,ZE JAKIES P2P NIE DZIALAJA NA PORTACH PREFEROWANYCH,
# TO ZOSTANA ZAZNACZONE I PRZEKAZANE NA LACZE DLA P2P
iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x900

# ZACHOWANIE DLA POTOMNYCH
iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x900 -j CONNMARK --save-mark

# JESLI JAKIS PAKIET JEST JUZ OZNACZONY,TO WYCHODZI Z MANGLE DO NASTEPNEJ TABLICY
iptables -t mangle -A PREROUTING -m mark ! --mark 0x0 -j RETURN

# PING
iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x800

# DNS
iptables -t mangle -A PREROUTING -p tcp  --dport 53 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 53 -j MARK --set-mark 0x800

# SSH
iptables -t mangle -A PREROUTING -p tcp  --dport 22 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 22 -j MARK --set-mark 0x800

# TELNET
iptables -t mangle -A PREROUTING -p tcp  --dport 23 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 23 -j MARK --set-mark 0x800

# WWW
iptables -t mangle -A PREROUTING -p tcp  --dport 80 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 80 -j MARK --set-mark 0x800

# WWW SZYFROWANE I TLEN
iptables -t mangle -A PREROUTING -p tcp  --dport 443 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 443 -j MARK --set-mark 0x800

# GADU GADU
iptables -t mangle -A PREROUTING -p tcp  --dport 8074 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 8074 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 1550 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 1550 -j MARK --set-mark 0x800

# POCZTA
iptables -t mangle -A PREROUTING -p tcp  --dport 25 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 110 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 993 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 995 -j MARK --set-mark 0x800

# FTP
iptables -t mangle -A PREROUTING -p tcp  --dport 20 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 21 -j MARK --set-mark 0x800

# USENET
iptables -t mangle -A PREROUTING -p tcp  --dport 119 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 119 -j MARK --set-mark 0x800

# IRC
iptables -t mangle -A PREROUTING -p tcp  --dport 6666:6668 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 6666:6668 -j MARK --set-mark 0x800

# MINIGRY ONLINE
iptables -t mangle -A PREROUTING -p tcp  --dport 5000:5100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 5000:5100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 17000:17100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 17000:17100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 8000:8100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 8000:8100 -j MARK --set-mark 0x800

# TIBIA (GRA ONLINE)
iptables -t mangle -A PREROUTING -p tcp  --dport 7171 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 7171 -j MARK --set-mark 0x800

# ZACHOWANIE ZAZNACZEN DLA POTOMNYCH
iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x800 -j CONNMARK --save-mark

Autor:  barte-k [ wtorek, 25 kwietnia 2006, 23:28 ]
Tytuł: 

Mam pytanie. Gdzie takie skrypty należy zgrywać?
Czy wystarczy "byle gdzie" +chmod 777 i wpis do rc.local?

Autor:  dawidmo [ wtorek, 25 kwietnia 2006, 23:34 ]
Tytuł: 

barte-k pisze:
Czy wystarczy "byle gdzie" +chmod 777 i wpis do rc.local?


Nie byle gdzie bo to przecież nie ..., polecałbym skrytpy dawać do /usr/local/bin, i chmod 755 wystarczy, tzn chmoda 777 się nie nadaje, bo to tak jak by pracowac na codzień jako root :D

Autor:  barte-k [ środa, 26 kwietnia 2006, 00:27 ]
Tytuł: 

Pisząc "byle gdzie" nie mialem namysli byle gdzie, tylko np /etc/rc.d/.
Chodzilo mi o to czy jest jakies specjalne miejsce na teaki skrypt, ale chyba "nie ma" to znaczenia, gdzie bedzie zapisany ...


Co mi z 755 maniaku bezpieczenstwa jak kazdy moze plik wg tego uprawienia odczytac i zapisac(zmienic)? Jak juz dajesz bezpieczne rady to napisz 744 albo 700 :P No :P

Pozdrawiam serdecznie :)

Autor:  dawidmo [ środa, 26 kwietnia 2006, 07:51 ]
Tytuł: 

barte-k pisze:
.
Co mi z 755 maniaku bezpieczenstwa jak kazdy moze plik wg tego uprawienia odczytac i zapisac(zmienic)? Jak juz dajesz bezpieczne rady to napisz 744 albo 700 :P No :P


Zdaje ci sie, przy 777 może kazdy zmienić, przy 755 tylko wykonać, itd, nie chce mi sie pisać :twisted:

Autor:  barte-k [ środa, 26 kwietnia 2006, 10:44 ]
Tytuł: 

Fakt - pomylilo mi sie, a to dlatego, ze na co dzien zamiast cyferek wole literki. Mniejsza o to.
Ja chcialem sie zapytac jeszcze autora skryptu, bo pisalem swoj podobny i w sumie troszke pozyczylem od Ciebie. W iec zapytuje, jak sie ma do tego niceshaper z serii 0.5 ?

Autor:  tasiorek [ środa, 26 kwietnia 2006, 16:22 ]
Tytuł: 

barte-k pisze:
W iec zapytuje, jak sie ma do tego niceshaper z serii 0.5 ?

Nie dziala. W ktoryms opisie LB podalem rozwiazanie podzialu lacza.

Autor:  marcin w [ czwartek, 28 września 2006, 10:50 ]
Tytuł: 

Oto moja konfiguracja:
: [/] [] ()
IF0="eth1" # LAN
IF1="eth0" # DSL1 www,poczta,ping,itp
IF2="eth2" # DSL2 lacze p2p i reszta pakietow nieoznakowanych

IP0="192.168.1.1" #IP
IP1="82.197.55.123"
IP2="82.197.55.125"

IP0_NET="255.255.255.0" # MASKA
IP1_NET="255.255.255.248"
IP2_NET="255.255.255.248"

IP0_BC="192.168.1.255" #BROADCAST
IP1_BC="82.197.55.127"
IP2_BC="82.197.55.127"

P1="82.197.55.121" #BRAMKA
P2="82.197.55.121"

P0_NET="192.168.1.0/24" #ADRES SIECI
P1_NET="82.197.55.123/29"
P2_NET="82.197.55.125/29"

ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC
ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC
ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC

# ZMIEJSZENIE TIMEOUT-OW DLA ODPOWIEDNICH PAKIETOW DO GRANIC AKCEPTOWALNYCH
# PRZEZ NIEKTORE PROGRAMY
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack

ip route del default
ip route del table www

ip route add default via $P2 dev $IF2
ip route add $P1_NET src $IP1 dev $IF1 table www

ip route add $P0_NET src $IP0 dev $IF0 table www
ip route add default via $P1 dev $IF1 table www

ip rule del fwmark 0x800 table www
ip rule add fwmark 0x800 table www
ip rule del fwmark 0x900 table main
ip rule add fwmark 0x900 table main
ip route flush cache

# CZYSZCZENIE WPISOW W TABLICY MANGLE
iptables -F -t mangle
iptables -X -t mangle

iptables -t nat -A POSTROUTING -o $IF1 -s $P0_NET -j SNAT --to $IP1
iptables -t nat -A POSTROUTING -o $IF2 -s $P0_NET -j SNAT --to $IP2

# OGRANICZENIE ILOSCI AKTYWNYCH POLACZEN TCP
iptables -t mangle -A FORWARD -p tcp -m connlimit --connlimit-above 60 -j DROP

# PRZYWROCENIE WARTOSCI MARK DLA NAWIAZANYCH POLACZEN
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark

# JESLI SIE OKAZE,ZE JAKIES P2P NIE DZIALAJA NA PORTACH PREFEROWANYCH,
# TO ZOSTANA ZAZNACZONE I PRZEKAZANE NA LACZE DLA P2P
iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x900

# ZACHOWANIE DLA POTOMNYCH
iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x900 -j CONNMARK --save-mark

# JESLI JAKIS PAKIET JEST JUZ OZNACZONY,TO WYCHODZI Z MANGLE DO NASTEPNEJ TABLICY
iptables -t mangle -A PREROUTING -m mark ! --mark 0x0 -j RETURN

# PING
iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x800

# DNS
iptables -t mangle -A PREROUTING -p tcp  --dport 53 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 53 -j MARK --set-mark 0x800

# SSH
iptables -t mangle -A PREROUTING -p tcp  --dport 22 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 22 -j MARK --set-mark 0x800

# TELNET
iptables -t mangle -A PREROUTING -p tcp  --dport 23 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 23 -j MARK --set-mark 0x800

# WWW
iptables -t mangle -A PREROUTING -p tcp  --dport 80 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 80 -j MARK --set-mark 0x800

# WWW SZYFROWANE I TLEN
iptables -t mangle -A PREROUTING -p tcp  --dport 443 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 443 -j MARK --set-mark 0x800

# GADU GADU
iptables -t mangle -A PREROUTING -p tcp  --dport 8074 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 8074 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 1550 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 1550 -j MARK --set-mark 0x800

# POCZTA
iptables -t mangle -A PREROUTING -p tcp  --dport 25 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 110 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 993 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 995 -j MARK --set-mark 0x800

# FTP
iptables -t mangle -A PREROUTING -p tcp  --dport 20 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 21 -j MARK --set-mark 0x800

# USENET
iptables -t mangle -A PREROUTING -p tcp  --dport 119 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 119 -j MARK --set-mark 0x800

# IRC
iptables -t mangle -A PREROUTING -p tcp  --dport 6666:6668 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 6666:6668 -j MARK --set-mark 0x800

# MINIGRY ONLINE
iptables -t mangle -A PREROUTING -p tcp  --dport 5000:5100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 5000:5100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 17000:17100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 17000:17100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p tcp  --dport 8000:8100 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 8000:8100 -j MARK --set-mark 0x800

# TIBIA (GRA ONLINE)
iptables -t mangle -A PREROUTING -p tcp  --dport 7171 -j MARK --set-mark 0x800
iptables -t mangle -A PREROUTING -p udp  --dport 7171 -j MARK --set-mark 0x800

# ZACHOWANIE ZAZNACZEN DLA POTOMNYCH
iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x800 -j CONNMARK --save-mark


Podczas startu skrypt zwraca następujący komunikat:
: [/] [] ()
RTNETLINK answers: no such process
RTNETLINK answers: no such process
RTNETLINK answers: invalid argument
RTNETLINK answers: no such process
RTNETLINK answers: no such process



Zainstalowałem kernel 2.4.32-10, iproute mam w wersji iproute-020116-2nnd, do /etc/iproute2/rt_tables dodałem wpis: 250 www, podczas startu uruchamia się tylko ten sktypt, nie uruchamiam natomiast: internet, lan, iptables (w rc.conf odznaczyłem je).

W lanie internetu nie ma, co ja w tym źle robie.

Autor:  gonzolot [ czwartek, 28 września 2006, 11:41 ]
Tytuł: 

Należy jeszcze umieścić 0 w plikach rp_filter, czyli:
: [/] [] ()
   for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo  0 > $f
    done

Autor:  marcin w [ czwartek, 28 września 2006, 12:23 ]
Tytuł: 

Dodałem ten wpis tuż po liniach:

ifconfig $IF0 $IP0 netmask $IP0_NET broadcast $IP0_BC
ifconfig $IF1 $IP1 netmask $IP1_NET broadcast $IP1_BC
ifconfig $IF2 $IP2 netmask $IP2_NET broadcast $IP2_BC

Ale internetu w lanie dalej nie ma, podczas startu dalej mam komunikat:

RTNETLINK answers: no such process
RTNETLINK answers: no such process
RTNETLINK answers: invalid argument
RTNETLINK answers: no such process
RTNETLINK answers: no such process

Jakiś problem jest z IPROUTE :?:

Autor:  marcin w [ czwartek, 28 września 2006, 23:18 ]
Tytuł: 

Udało mi się zrealizować, do prawidłowego działania należało tylko przełączyć opcję jądra na tryb pracy routera:
: [/] [] ()
echo 1 > /proc/sys/net/ipv4/ip_forward


Choć wszystko już działa, podczas startu pojawia się komunikat ze skryptu podnoszącego interfejsy sieciowe i ustalającego tabele routingu

RTNETLINK answers: no such process
RTNETLINK answers: no such process
RTNETLINK answers: invalid argument
RTNETLINK answers: no such process
RTNETLINK answers: no such process

Z czego to może wynikać :?:

Autor:  oizu [ sobota, 30 września 2006, 02:17 ]
Tytuł: 

A czym to dzielisz?

Autor:  oizu [ sobota, 30 września 2006, 02:29 ]
Tytuł: 

Cytuj:
IF0="eth1" # LAN
IF1="eth0" # DSL1 www,poczta,ping,itp
IF2="eth2" # DSL2 lacze p2p i reszta pakietow nieoznakowanych

IP0="192.168.1.1" #IP
IP1="82.197.55.123"
IP2="82.197.55.125"

IP0_NET="255.255.255.0" # MASKA
IP1_NET="255.255.255.248"
IP2_NET="255.255.255.248"

IP0_BC="192.168.1.255" #BROADCAST
IP1_BC="82.197.55.127"
IP2_BC="82.197.55.127"

P1="82.197.55.121" #BRAMKA
P2="82.197.55.121"

P0_NET="192.168.1.0/24" #ADRES SIECI
P1_NET="82.197.55.123/29"
P2_NET="82.197.55.125/29"



sprawdz wszystko dobrze , bo coś misię tu powtarza... :)

no izawsze sptawdz sobie :
ifconfig

Strona 1 z 3 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/