Re: [OT] Ajustar ToS mediante nftables
El martes, 6 oct 2015 a las 13:30 UTC
Camaleón escribió:
> El Mon, 05 Oct 2015 20:10:22 +0200, Manolo Díaz escribió:
>
> > El lunes, 5 oct 2015 a las 17:51 UTC Camaleón escribió:
> >
> >> El Mon, 05 Oct 2015 19:20:12 +0200, Manolo Díaz escribió:
> >>
> >> > El lunes, 5 oct 2015 a las 17:01 UTC Camaleón escribió:
> >>
> >> (...)
> >>
> >> > Respuesta a la orden, copia exacta:
> >> >
> >> > <cmdline>:1:53-55: Error: syntax error, unexpected set add rule ip
> >> > mangle postrouting udp dport ntp ip tos set 0x10
> >> > ^^^
> >>
> >> No he leído el manual pero parece que ese operador (set) no está
> >> permitido ahí.
> >
> > set se usa para describir conjuntos pero también para ajustar valores.
> > Ese y otros intentos míos están inspirados en la forma de ajustar mark,
> > priority y nftrace, al no encontrar documentación específica. Palos de
> > ciego, por expresarlo de una forma clara y resumida.
> >
> > http://wiki.nftables.org/wiki-nftables/index.php/
> Setting_packet_metainformation
>
> El mensaje que te daba parece muy claro y coincido con el log en que
> "tos" no admite "set". Es posible que otros valores sí lo admitan como
> pone la wiki.
>
> >> Google sugiere que asignes el valor directamente:
> >>
> >> nft add rule ip mangle postrouting udp dport ntp ip tos 0x10
> >
> > <cmdline>:1:1-56: Error: Could not process rule: No such file or
> > directory
> > add rule ip mangle postrouting udp dport ntp ip tos 0x10
> > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Bien, al menos ya no se queja por el "set". Puedes fijarte en otros
> ejemplos que usan "tos" para los paquetes, por ejemplo, este es un bug:
>
> http://lists.netfilter.org/pipermail/netfilter-buglog/2014-May/003179.html
>
> Quizá el problema lo tengas con el valor de tos, yo empezaría a añadir
> reglas sencillas (como las que ponen en los ejemplos) a la tabla que
> tienes definida para ver si eso funciona ya que de lo contrario es
> posible que la tabla esté mal definida/estructurada ¿la has creado
> manualmente o has usado la que viene en algún ejemplo de la documentación
> del paquete, de alguna web...?
Modificando la que trae el paquete nftables: /etc/nftables.conf
El filtrado, tanto IP como ARP, me funciona perfectamente. Puedo
seleccionar los paquetes por sus características (incluido ToS) y
también puedo marcarlos. Lo único que no he conseguido es alterar el
valor de un campo.
Y el hecho de que no haya visto ni la más leve indicación de cómo
hacerlo hasta ahora y que una búsqueda del patrón MANGLE en el fichero
de configuración del núcleo Linux (4.2.1) solo encuentre coincidencia
relacionada con iptables me hace pensar que es uno de los objetivos por
cumplir de nftables.
> Por ejemplo, de la página de la wiki que envías más arriba prueba con la
> tabla que van generando con los comandos en la sección de "priority".
> Crea la tabla y al final intenta añadir el valor tos como idnican pero
> ajustándolo a tu regla:
>
> nft add rule mangle postrouting udp dport 123 tos 0x10
<cmdline>:1:43-45: Error: syntax error, unexpected tos, expecting end of file or newline or semicolon
add rule mangle postrouting udp dport 123 tos 0x10
^^^
Camaleón, te agradezco el esfuerzo, pero voy a abandonar el asunto a la
espera de nuevas versiones del núcleo.
> Saludos,
Saludos.
--
Manolo Díaz
Reply to: