Caute chlapci mam taky problem, povedzme ze mame PC s adresou 192.168.1.1.. Z tohto PC chcem cely traffic omarkovat a tak mam pravidlo na "linux-routri1"
-A FORWARD -s 192.168.1.1/32 -j MARK --set-mark 7
Toto funguje.. Problem vsak je, ze pri POSTROUTINGU sa to cele zamaskuje za "linux-router1" a na dalsi "linux-router2" to uz dolezie bez MARKU..
Viete mi niekto poradit? Preco maskarade odstranuje MARK?
alebo tomu asi rozumiem.. MARK sa nezapisuje do hlavicky paketu, ale je to len v ramci jednej linux masiny takze, logicky ze MASQUERADE to odstrani... Je to tak?
Ano MARK ti len oznaci paket v ramci jedneho zariadenia, to co hladas bude zrejme DSCP/TOS.
Och...
ano viem trapne, no clovek sa uci cely zivot :)
Trápne nie je keď sa chce človek niečo nové naučiť. Trápne je keď je človek nepoučiteľný.
Takže, pohodička.
+1
Tak som tu uspesne vyriesil cez iptables a zmenu hodnoty TOS/DSCP v hlavicke pakety ako tu kolega hore spomenul takze dakujem za pomoc...
Mam vsak este jeden "kozmeticky problem" a to reverse path filtering..Z nejakeho dovodu mi to nejde ked je tento paramater v kerneli zapnuty ...Ked ho vypnem vsetko funguje OK, ale problem je na vystupnom interface, ktorym sa traffic aj vracia naspat cize som z toho trochu zmateny...
Ked budem mat cas spravim obrazok, mozno niekto bude vediet poradit..
Nebolo by zle keby si napisal co chces tym markovanim dosishnut.
Dosiahnut chcem to, ze som si nainstaloval Qubes a ked som v praci a som naraz pripojeny k firemnej sieti aj k verejnej wifine tak aby mi z domeny personal (aka virtualky) isiel cely traffic cez wifinu a z domeny work isiel traffic do firemnej siete..
problem je ten, ak si nainstalujes Qubes, ze cely traffic z "virtualok" ide na sys-firewall kde sa to natuje za "firewall" a potom to ide na sys-net, kde su predefinovane routy a kedze firemna routa ma mensiu metriku tak mi tam ide aj cela komunikacia z personal virtualky..cize som sa musel pohrat s iptablesami a oznacit nejakym sposobom pakety pochadzajuce z virtualky personal aby som ich mohol rozlisit a nadefinovat im inu ip rule... Neda sa robit SNAT, kedze interface na sys-firewall je s maskou 32..
A co sa tyka toho reverse path filteringu tak mam pocit, ze problem bude prave v tom oznaceni TOS..kedze pakety, ktore posielam von maju TOS znacku dajme tomu 0x2 a vracaju sa mi pakety s TOS 0x0 tak rp_filter to zahodi..Este som si to nepotvrdil, ale pride mi to ako najpravdepodobnejsie, kedze interface, ktorym to chodi nie je odlisny..
Idem sa s tym este pohrat.
tym TOSom to nebude, ze mi to rp_filter zahadzuje.. takze rozmyslam dalej :D