[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

Saludos

Al final, despues de mucho pelearlo he conseguido actualizar el sistema
desde cero, formatearlo y reconfigurarlo. Ahora tengo el nucleo 3.2 y
las opciones de ip route get que permitian la opcion mark.

El problema es que sigo igual. No envia los paquetes por donde debe, sin
embargo, cuando uso ip route get si que parece que coge las rutas que
debe coger.

En las opciones de red solo tengo activado ip_forward. Sabeis si hay que
configurar alguna opcion mas para que funcione el marcado y envio de
forma correcta?

Tengo iptables --version
iptables v1.4.12

En muchos lugares he visto que hay que tener instalado el modulo
ipt_mark pero en mi caso no esta instalado aunque leí en otros lugares
que era antiguo y que no era necesario (no tengo claro si se necesita o
no). Os pongo la lista de módulos por si falta alguno

ipt_MASQUERADE         12759  2
ipt_REJECT             12576  3
xt_multiport           12597  40
xt_state               12578  43
xt_tcpudp              12603  43
xt_mark                12563  8
iptable_nat            13229  1
nf_nat                 25891  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      19716  46 iptable_nat,nf_nat
iptable_filter         12810  1
iptable_mangle         12734  1
ip_tables              27473  3 iptable_nat,iptable_filter,iptable_mangle
x_tables               29846  10
ipt_MASQUERADE,ipt_REJECT,xt_multiport,xt_state,xt_tcpudp,xt_mark,iptable_nat,iptable_filter,iptable_mangle,ip_tables
nf_conntrack           81926  6
ipt_MASQUERADE,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp

Saludos

-----------------------------------------------------------------
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejarano@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-----------------------------------------------------------------

El 07/09/12 08:45, Francisco J. Bejarano escribió:
> 
> 
> El 06/09/12 18:26, Juan Antonio escribió:
>> El 06/09/12 17:39, Francisco J. Bejarano escribió:
>>> Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
>>> funciona esto. Se supone que los numeros de prioridad son para algo...
>>> alguna sugerencia? a mi ya me duele la cabeza...
>> algunas pruebas que he hecho.
>>
>> [root@blackpearl ~]# ip ru ls
>> 0:    from all lookup local
>> 100:    from 192.168.12.35 fwmark 0x1 lookup t1
>> 101:    from 192.168.12.35 lookup t2
>> 32766:    from all lookup main
>> 32767:    from all lookup default
>>
>> [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING
>> Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes)
>>  pkts bytes target     prot opt in     out     source              
>> destination        
>>     0     0 MARK       tcp  --  *      *       192.168.12.35       
>> 0.0.0.0/0            tcp dpt:25 MARK set 0x1
>>
>> root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
>> 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
>> 192.168.12.91
>>     cache <src-direct,redirect>  iif eth0
>> [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
>> mark 0x1
>> 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1  src
>> 192.168.12.91  mark 1
>>     cache <src-direct>  iif eth0
>>
>> todo correcto hasta aqui. cambiamos la prioridad
>>
>> [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2
>> [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2
>> [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
>> mark 0x1
>> 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
>> 192.168.12.91  mark 1
>>     cache <src-direct,redirect>  iif eth0
>>
>>
>> y hasta aqui también.
>>
>> [root@blackpearl ~]# uname -r
>> 3.4.9-1-ARCH
> 
> Uff, vamos que podría ser la version del nucleo y la implementacion de
> iproute2 junto con el...
> uname -r
> 2.6.32-5-686
> 
> 
>
Reply to: