[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

El 06/09/12 14:45, Juan Antonio escribió:
> El 06/09/12 13:42, Francisco J. Bejarano escribió:
>> Voy a ponerlo mas claro que puede que sea un lio.
>>
>> 0:      from all lookup local
>> 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
>> 30010:  from 10.0.2.226 lookup TB3
>> 30030:  from 10.0.1.0/24 lookup TB3
>> 30040:  from 10.0.2.0/24 lookup TB3
>> 30060:  from all lookup main
>> 30070:  from all lookup default
>>
>> Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
>> del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
>> Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.
>>
>> 0:      from all lookup local
>> 30010:  from 10.0.2.226 lookup TB3
>> 30030:  from 10.0.1.0/24 lookup TB3
>> 30040:  from 10.0.2.0/24 lookup TB3
>> 30060:  from all lookup main
>> 30070:  from all lookup default
>>
>> Quito el marcado y sigue yendo a TB3 por ambos puertos.
>>
>> 0:      from all lookup local
>> 30030:  from 10.0.1.0/24 lookup TB3
>> 30040:  from 10.0.2.0/24 lookup TB3
>> 30060:  from all lookup main
>> 30070:  from all lookup default
>>
>> He quitado lo especifico a mi direccion y sigue yendo por TB3 como
>> corresponde a la regla 30040.
>>
>> 0:      from all lookup local
>> 30030:  from 10.0.1.0/24 lookup TB3
>> 30060:  from all lookup main
>> 30070:  from all lookup default
>>
>> Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene
>> main.
>>
>> Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta...
>>
>>
>>
>> El 06/09/12 13:04, Juan Antonio escribió:
>>> El 06/09/12 13:00, Francisco J. Bejarano escribió:
>>>> 30015:  from 10.0.2.226 lookup TB3
>>> ¿y si quitas esta llega a TB2 o a main?
>>>
>>>
>>>
>>>
> con toda la configuración, si haces un
>
> ip ro get ip_que_sea from 10.0.2.xx iif ethx mark 0x2
>
> donde el ethx se corresponde con la red 10.0.2.0 ¿qué te dice? ¿a qué
> tabla te lo manda?
>
> Prueba también a meter una LOG de iptables en filter forward o mangle
> forward a ver como llegan ahí los paquetes, filtra por icmp por ejemplo
> para depurar con ping y te ahorras un montón de morralla.
>
>
No me funciona la opcion mark de iproute2, no esta esa opcion. He visto
que el soporte mark es a partir del nucleo 2.6.36 parece ser. Yo tengo
el nucleo de debian el 2.6.32.5.

Estoy haciendo pruebas con las reglas y mi host a ver que saco en claro,
luego lo escribo. Por cierto que.

para hacer el trazado de rutas con puertos específicos uso el siguiente
comando desde el PC que inicia la comunicación (10.0.2.226) siguiente,
por si alguien quiere usarlo para sus pruebas en sus redes.

sudo nmap -sS -p <PuertodeDestino> -Pn --traceroute --dns-server
<IPdelDNS> nombrededominiodestino

Ejemplo: sudo nmap -sS -p 443 -Pn --traceroute --dns-server 10.0.0.100
www.google.es

Da un trazado desde 10.0.2.226 hasta www.google.es usando el puerto de
destino 443 y el DNS interno 10.0.0.100. Cambiando el puerto de destino
trazara un camino u otro dependiendo de las rutas que tengais. Bastante
util.

-- 
-----------------------------------------------------------------
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejarano@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-----------------------------------------------------------------
Reply to: