Re: HS iptables et set mark pour séparer le trafic par interface
Je me répond ;-)
Le 27/02/2013 14:35, daniel huhardeaux a écrit :
Bonjour,
désolé pour le HS, j'ai posé la question sur la liste Netfilter et
n'ai eu aucune réponse. Peut être aurai je plus de succès en la posant
ici :-)
Sur un serveur tournant en Debian squeeze iptables 1.4.8 j'ai 3
interfaces réseau: eth0=FAI1 eth1=FAI2 eth2=br0/Intranet. Mes
actuelles règles de routage répartissent le trafic Intranet vers
Internet soit par adresse IP source soit par adresse IP destination
via ip rule. Ma route par défaut est eth1. L'ensemble est fonctionnel.
Ce que j'aimerai à présent, en complément, c'est de pouvoir répartir
également par port de destination, comme par ex le http et ssh via
eth0, le reste via la route par defaut, peu importe l'IP source.
J'utilise donc le marquage de paquet d'iptables de la manière suivante
(l'IP source 192.168.10.6 étant un test de marquage par IP qui n'est
pas plus fonctionnel que celui des ports):
[...]
Mes règles sont bonnes sauf que:
a) iptables ne tient pas compte de -j CONNMARK --set-mark [1|2] mais -j
MARK --set-mark [1|2] fonctionne
b) il faut désactiver le reverse path filtering qui protège de l'IP
spoofing ( /etc/sysctl.conf net.ipv4.conf.all.rp_filter =0)
Le lien magique
http://www.sysresccd.org/Sysresccd-Networking-EN-Iptables-and-netfilter-load-balancing-using-connmark
Bonne soirée
--
Daniel
Reply to: