Re: HS: iptables interface de sortie par la même que l'entrée.
Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :
> Je n'ai rien compris. Et pourtant j'ai la prétention de m'y connaître
> un peu.
>
oups, je n'utilise pas les bon termes.
>> est-ce qu'une solution existe pour que si ça arrive par l'interface
>> wan0, ça reparte par la même interface et que ça ne passe pas par les
>> règle que j'ai mis pour l'output ?
>
>
>> pour rappel, un petit exemple de ce que je fais:
>> ##routage alternatif
>> iptables -t mangle -N ROUTING-POLICY
>> iptables -t mangle -A OUTPUT -j ROUTING-POLICY
>> iptables -t mangle -A PREROUTING -j ROUTING-POLICY
>> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -j MARK
>> --set-mark 0x3
>
> -D, vraiment ?
non, -A bien entendu. erreur de copier / coller.
>
> C'est du routage avancé, pas de la redirection. Pas étonnant que je
> n'ai rien compris.
oui, routage avancé, pardon. au temps pour moi.
>
> Si je comprends bien tu veux marquer seulement les paquets des
> connexions sortantes. Une solution consiste à utiliser le marquage de
> connexion avec la cible CONNMARK et la correspondance connmark.
oui, exactement. du coup je vais tester ça, merci.
> Une autre possibilité plus simple mais probablement incomplète
> consiste à discriminer l'adresse source originelle de la connexion
> avec l'option --ctorigsrc de la correspondance conntrack, en ajoutant
> à la règle de marquage :
>
> -m conntrack ! --ctorigsrc jeremy.domain.net
>
ça pour le coup j'ai pas trop compris, mais je relierai ça si la
solution 1 ne fonctionne pas :)
Merci Pascal.
Jerem
Reply to: