Freesco, NND, CDN, EOS

Witam, jak zrobic, zeby pakiety na odpowiednim porcie udp lecialy przez inne lacze jak default, ktrore jest w tablicy www. Jak zrobie to przez normalne markowanie w output i input a potem ip rule add fwmark ... to bedzie ok ? Jezeli tak, to dlaczego iptables nie chce mi takiej reguly zalapac:
iptables -A OUTPUT -p udp --sport 27016 -j MARK --set-mark 999

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Oczywiście masz na myśli ruch z serwera w świat?



A może jednak ruch przechodzący przez serwer?



E, nie wierze, chyba nie

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

hmm siatkówka ?

_________________
WRT54G v3.1 z TOMATO
Ovislink 5460+APPRO + Yagi 12dbi
2048/256 3 users
LaFonera + FON
DLink DNS-323 2x320GB WD RAID0

iptables -t mangle -I PREROUTING -p udp --sport 27016 -j MARK --set-mark 999

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Chodzi mi o ruch serwera w swiat, lacze domyslne jest na dsl`u a na drugie jest symetryczne i chcialem postawic na nim serwer countera i jak stawiam go z ip symetrycznego lacza, to nie widac go w internecie.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

iptables -I INPUT -p udp --dport 27016 -j ACCEPT

Oczywiscie musisz zapewnić odpowiedni routing aby pakiety wychodzily tym laczem, ktorym wchodza.


Już sie dowiedzieliśmy, że chodzi o ruch wychodzący.
iptables -t mangle -I OUTPUT -p udp --sport 27016 -j MARK --set-mark 999

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Obawiam sie, ze w tym wypadku iptablesy na nic sie nie zdadza, bo decyzja o routingu jest podejmowana przed skierowaniem pakietow do jakiegokolwiek lancucha. Pozostaje kombinowanie z iproute.
EDIT: Przypomnialo mi sie, ze na netfilterze czytalem kiedys o patchu ROUTE, ktory tez moglby pomoc. Niestety w NND go nie mamy, a o nim samym wiem tylko, ze istnieje.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

moze wystarczy pakiety z adresem zrodlowym IP"inne lacze jak default,"
kierowac do tablicy "inne lacze jak default,"

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Zaraz sprobuje z ip zrodlowym, bo nie chce mi sie dla jednego serwera kompilowac jadra.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Chcialem jeszcze ozywic troche ten temat, bo wskazane sposoby nie pomogly, a teraz mi to troche bardziej potrzebne, bo chcialem odpalic squida na tym laczu. Ma ktos moze jeszcze jakies pomysly ?

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Co dokladnie zrobiles i jakie przy tym napotkales problemy? "wskazane sposoby nie pomogly" nic nie mowi.

To akurat juz bylo przerabiane. WSKAZOWKA: tcp_outgoing_address

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Zrobilem tak: iptables -t mangle -A OUTPUT -s ip_zrodlowe -p udp --sport 27016 -j MARK --set-mark 999, potem wrzucilem pakiety z markiem 999 do odpowiedniej tablicy.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Naprawde nie napisalem tego Tobie na zlosc, tylko dlatego, ze to NIE ZADZIALA.
BTW: masz skonfigurowany routing przez te 2 lacza? Z tego co pamietam to serwer csa ma mozliwosc ustawienia ip na jakim ma dzialac.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Nie tylko możliwość ale i konieczność W innym przypadku nasłuchwiał on będzie na ip interfejsu wewnętrznego.

Pozdrawiam

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

Tak ma i jest ustawiony odpowiedni adres ip na serwerze, no to chyba sie nie obedzie bez kompilacji jadra. Ktos jeszcze poruszal sprawe zrobienia 2 bram.

Zapomnialem jeszcze dodac. Routing na tych 2 laczach jest zrobiony, wszystko jest ok, tylko musze zmusic serwer, zeby niektore uslugi korzystalem z innego lacza niz domyslne. I tak musze kompilowac jadra, bo musze wyrzucic z jadra modul debugowania, bo caly czas mi trabi o imq wiec przy okazji wkompiluje ten patch route.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Problem lezal w tym, ze iptables znakowalo hexametralnie pakiety natomiast iproute lapalo pakiety ale znakowane dziesietnie. Wystarczylo po regulce iptables zmienic znak z systemu 16-kowego na dziesietny i wszystko szlo ok. Regulka oczywiscie:
potem:
potem:

Mam nadzieje, ze komus sie przyda.

Dzieki za pomoc !!! Pozdrawiam

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!