LINUX.ORG.RU
решено ФорумAdmin

Связность/маршрутизация через другой интерфейс

 ,


0

1

Схема:

      eth0 (1.1.1.1)<->server1 (3.3.3.3:1234)
     /
host
    \
     vlan123(2.2.2.2)<->server2 (5.5.5.5:1234)


Хост может общаться с server1 через дефолтный шлюз через eth0
Связности через VLAN интерфейс до server1 нет.

Как сделать чтобы приложение, которое может инициировать запросы только с src_ip=2.2.2.2 могло подключиться к 3.3.3.3:1234?

Cвязность с server2:1234 при этом не должна быть затронута

★★★★★

Последнее исправление: zolden (всего исправлений: 1)
fake ssh login
Что не так у меня с TC shaper

Если я правильно понял, server1 не находится в соответсвующем vlan'e. Какраз такая схема актуальна для разделения server1 и server2. Или я не совсем понял задачу. Может чуть больше конкретики?

snowby
()

В чем проблема ? Если в таблице маршрутизации есть маршрут к 3.3.3.3 через dev eth0 gw 1.1.1.x и есть маршрут в 5.5.5.5 через dev vlan123 gw 2.2.2.x, то проблем не должно быть. без policy-routing src пакетов на выбор маршрута не влияет.

vel ★★★★★
()
Ответ на: комментарий от vel

как я понимаю ответы не доходят до приложения

host:~# telnet -b 2.2.2.2 3.3.3.3 1234

host:~ # tshark -i any port 1234
Running as user "root" and group "root". This could be dangerous.
Capturing on Pseudo-device that captures on all interfaces
  0.000000    2.2.2.2 -> 3.3.3.3 TCP 15652 > 1234 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=11
  0.000007    2.2.2.2 -> 3.3.3.3 TCP 15652 > 1234 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=11
  0.001586 3.3.3.3 -> 2.2.2.2    TCP 1234 > 15652 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1260 WS=8
  0.001586 3.3.3.3 -> 2.2.2.2    TCP 1234 > 15652 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1260 WS=8
  2.998818 3.3.3.3 -> 2.2.2.2    TCP 1234 > 15652 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1260 WS=8
  2.998818 3.3.3.3 -> 2.2.2.2    TCP 1234 > 15652 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1260 WS=8
  2.999273    2.2.2.2 -> 3.3.3.3 TCP 15652 > 1234 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=11
  2.999301    2.2.2.2 -> 3.3.3.3 TCP 15652 > 1234 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=11
  8.998988 3.3.3.3 -> 2.2.2.2    TCP 1234 > 15652 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1260
  8.998988 3.3.3.3 -> 2.2.2.2    TCP 1234 > 15652 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1260
  8.999268    2.2.2.2 -> 3.3.3.3 TCP 15652 > 1234 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=11
  8.999273    2.2.2.2 -> 3.3.3.3 TCP 15652 > 1234 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=11

zolden ★★★★★
() автор топика
Ответ на: комментарий от zolden

+

host:~ # ping -I 2.2.2.2 3.3.3.3
PING 3.3.3.3 (3.3.3.3) from 2.2.2.2 : 56(84) bytes of data.
^C
--- 3.3.3.3 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 4999ms


host:~ # tshark -i any host 3.3.3.3
Running as user "root" and group "root". This could be dangerous.
Capturing on Pseudo-device that captures on all interfaces
  0.000000    2.2.2.2 -> 3.3.3.3 ICMP Echo (ping) request
  0.000008    2.2.2.2 -> 3.3.3.3 ICMP Echo (ping) request
  0.001648 3.3.3.3 -> 2.2.2.2    ICMP Echo (ping) reply
  0.001648 3.3.3.3 -> 2.2.2.2    ICMP Echo (ping) reply
  1.002932    2.2.2.2 -> 3.3.3.3 ICMP Echo (ping) request
  1.002942    2.2.2.2 -> 3.3.3.3 ICMP Echo (ping) request
  1.004453 3.3.3.3 -> 2.2.2.2    ICMP Echo (ping) reply
  1.004453 3.3.3.3 -> 2.2.2.2    ICMP Echo (ping) reply

zolden ★★★★★
() автор топика
Ответ на: комментарий от zolden

а с rp_filter ничего не делали?

«tcpdump -ni any» не информативно. Смотри на «eth0 port 1234» или на «vlan123 port 1234». Если vlan123 в eth0, то еще проще: «tcpdump -nei eth0 port 1234».

vel ★★★★★
()
Ответ на: комментарий от vel

C rp_filter ничего не делал
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.vlan123.rp_filter = 0


tcpdump с теста с telnet

host:~ # tcpdump -nei eth0 port 1234
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:13:24.118125 e0:97:96:0e:34:2c > 00:00:5e:00:01:35, ethertype IPv4 (0x0800), length 66: 2.2.2.2.25061 > 3.3.3.3.1234: S 3093593336:3093593336(0) win 64240 <mss 1460,nop,nop,sackOK,nop,wscale 11>
14:13:24.119758 34:00:a3:48:0a:a2 > e0:97:96:0e:34:2c, ethertype IPv4 (0x0800), length 66: 3.3.3.3.1234 > 2.2.2.2.25061: S 2502337550:2502337550(0) ack 3093593337 win 8192 <mss 1260,nop,wscale 8,nop,nop,sackOK>
14:13:27.118464 34:00:a3:48:0a:a2 > e0:97:96:0e:34:2c, ethertype IPv4 (0x0800), length 66: 3.3.3.3.1234 > 2.2.2.2.25061: S 2502337550:2502337550(0) ack 3093593337 win 8192 <mss 1260,nop,wscale 8,nop,nop,sackOK>
14:13:27.121373 e0:97:96:0e:34:2c > 00:00:5e:00:01:35, ethertype IPv4 (0x0800), length 66: 2.2.2.2.25061 > 3.3.3.3.1234: S 3093593336:3093593336(0) win 64240 <mss 1460,nop,nop,sackOK,nop,wscale 11>
14:13:33.112843 34:00:a3:48:0a:a2 > e0:97:96:0e:34:2c, ethertype IPv4 (0x0800), length 62: 3.3.3.3.1234 > 2.2.2.2.25061: S 2502337550:2502337550(0) ack 3093593337 win 8192 <mss 1260,nop,nop,sackOK>
14:13:33.117371 e0:97:96:0e:34:2c > 00:00:5e:00:01:35, ethertype IPv4 (0x0800), length 66: 2.2.2.2.25061 > 3.3.3.3.1234: S 3093593336:3093593336(0) win 64240 <mss 1460,nop,nop,sackOK,nop,wscale 11>

zolden ★★★★★
() автор топика
Последнее исправление: zolden (всего исправлений: 1)
Ответ на: комментарий от zolden

«rp_filter = 1» это жестоко. 2 - минимальная валидация.

Если оно режется rp_filter то «netstat -s | grep IPReversePathFilter» будет расти.

vel ★★★★★
()
Ответ на: комментарий от vel

ИМХО, в случае ТС, rp_filter влиять не должен, он же сопостовляет src-ip-адрес пакет и интерфейс, откуда пришёл пакет. Раз у ТС default маршрут в eth0, в него могут приходить любые пакет, а то, что у пакета dst-ip-адрес 2.2.2.2 rp_filter не должен анализировать.

2ТС, кроме IPReversePathFilter, стоит попробовать ″-j TRACE″ в iptables и ″log_martians″, может что прояснит.

И tcpdump/ядро достаточно свежие? Он (tcpdump) показывает тегированные пакеты на eth0, чтобы точно быть уверенным, что раз в дампе пакеты обычные, то они точно идут на eth0 на не на vlan123. Древний tcpdump не показывал теги в принципе и с ним не отловить глюки свича, бросающего пакеты не в тот vlan.

mky ★★★★★
()
Ответ на: комментарий от mky

″-j TRACE″ - это когда остальное не помогло.

Древний tcpdump не показывал теги в принципе и с ним не отловить глюки свича, бросающего пакеты не в тот vlan.

Это когда такое было?

rp_filter мне много крови попортил в ситуациях с ассиметричной маршрутизацией.

Вот простой вопрос к ТС - а фильтры с DROP на input есть?

vel ★★★★★
()
Ответ на: комментарий от mky

MAC 00:00:5e:00:01:35 ни о чем не говорит ? Обычно это VRRP

А с vrrp это отдельный вопрос...

Туда

14:13:24.118125 e0:97:96:0e:34:2c > 00:00:5e:00:01:35,

обратно

14:13:24.119758 34:00:a3:48:0a:a2 > e0:97:96:0e:34:2c,

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от mky

iptables -t raw -A OUTPUT -o eth0 -d 3.3.3.3 -p tcp -m tcp --dport 1234 -j TRACE
ничего не выводит

марсианское логирование дало вот такое:
martian source 2.2.2.2 from 3.3.3.3, on dev vlan123

zolden ★★★★★
() автор топика
Ответ на: комментарий от vel

а фильтры с DROP на input есть?

в iptables пусто

zolden ★★★★★
() автор топика
Ответ на: комментарий от vel

Какого рода NAT?
Я пробовал так:

iptables -A POSTROUTING -t nat -d 3.3.3.3 -o vlan123 -p tcp -m tcp --dport 1234 -j SNAT --to-source 1.1.1.1

zolden ★★★★★
() автор топика
Ответ на: комментарий от zolden

я бы не указывал "-o eth0" 

iptables -t raw -A OUTPUT -d 3.3.3.3 -p tcp --dport 1234 -j TRACE
iptables -t raw -A PREROUTING -s 3.3.3.3 -p tcp --dport 1234 -j TRACE

Больше интересует input

vel ★★★★★
()
Ответ на: комментарий от zolden

а ты уверен что оно в vlan123 попадало ? Оно должно применяться как раз на eth0

Вопрос - если через vlan123 нет доступа к server1, но router(vrrp!) из 1.1.1.x знает про сеть 2.2.2.x - не возникает ли ассиметричной маршрутизации?

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от zolden

Это нормальное ядро (не openvz) ?

а что говорит cat /proc/sys/net/netfilter/nf_log/2 ?

если там NONE, то нужно добавить и удалить правило с "-j LOG"

Linux 3.18.14.
root@sdo:~# cat /proc/sys/net/netfilter/nf_log/2 
NONE
root@sdo:~# iptables -A OUTPUT -p 99 -j LOG
root@sdo:~# cat /proc/sys/net/netfilter/nf_log/2 
nf_log_ipv4

после чего TRACE начинает работать :)

vel ★★★★★
()
Ответ на: комментарий от vel

Линк от eth0 идёт в роутер.
vlan123 работает поверх eth0.
На роутере это разные VLAN интерфейсы и разные VRFы, с маршрутизацией там всё ок

Через eth0 идёт дефолтный маршрут, через который доступен и server1
На server1 прописан статический обратный маршрут

До server2 через vlan123 есть статический маршрут

zolden ★★★★★
() автор топика
Ответ на: комментарий от vel

OH SHI

Действительно, заработало.
Теперь понять бы что с этим счастьем делать:

[1059197.094150] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39976 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059197.094168] TRACE: raw:OUTPUT:policy:3 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39976 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059197.094190] TRACE: nat:OUTPUT:policy:1 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39976 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059197.094205] TRACE: filter:OUTPUT:policy:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39976 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059197.094217] TRACE: nat:POSTROUTING:policy:1 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39976 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059200.089535] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39977 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059200.089577] TRACE: raw:OUTPUT:policy:3 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39977 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059200.089596] TRACE: filter:OUTPUT:policy:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39977 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059206.081760] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39978 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059206.081807] TRACE: raw:OUTPUT:policy:3 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39978 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1059206.081823] TRACE: filter:OUTPUT:policy:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=39978 DF PROTO=TCP SPT=9521 DPT=1234 SEQ=4100788199 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0

zolden ★★★★★
() автор топика
Последнее исправление: zolden (всего исправлений: 1)

Вот что бывает с теми, кто не умеет считать монетки в сундуках :)

melkor217 ★★★★★
()
Ответ на: комментарий от vel

″-j TRACE″ - это когда остальное не помогло.

Ну tcpdump видит пакеты ″3.3.3.3 -> 2.2.2.2″, я же не знаю, что у ТС в файерволе, поэтому что крутить rp_filter, если бы пакеты рубились в iptables.

Ну, а раз появилось:

martian source 2.2.2.2 from 3.3.3.3, on dev vlan123

понятно, что TRACE пока можно отложить.

Это когда такое было?

vlan-тег не показывался в RHEL 5 (с родным ядром), может это было и давно, но он и его клоны ещё встречаются на серверах.

mky ★★★★★
()
Ответ на: OH SHI от zolden

то, что пакеты от тебя уходят - это понятно, а входящих пакетов пока не видно.

iptables -t raw -A PREROUTING -s 3.3.3.3 -p tcp --dport 1234 -j TRACE

извини - не --dport конечно, а --sport :(

PS ага! значит бага с TRACE не у меня одного. Мне все лень его пофиксить, а проблеме уже как минимум 1.5 года.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel 
[1119087.465256] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51639 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119087.465273] TRACE: raw:OUTPUT:policy:3 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51639 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119087.465296] TRACE: nat:OUTPUT:policy:1 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51639 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119087.465311] TRACE: filter:OUTPUT:policy:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51639 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119087.465323] TRACE: nat:POSTROUTING:policy:1 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51639 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119087.466997] TRACE: raw:PREROUTING:policy:3 IN=vlan123 OUT= MAC=e0:97:96:0e:34:2c:34:00:a3:48:0a:a2:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=52 TOS=0x08 PREC=0x40 TTL=122 ID=17638 DF PROTO=TCP SPT=9393 DPT=36705 SEQ=1373003656 ACK=1771413421 WINDOW=8192 RES=0x00 ACK SYN URGP=0 OPT (020404EC0103030801010402)
[1119087.467043] martian source 2.2.2.2 from 3.3.3.3, on dev vlan123
[1119087.467044] ll header: e0:97:96:0e:34:2c:34:00:a3:48:0a:a2:08:00
[1119090.460702] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51640 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119090.460750] TRACE: raw:OUTPUT:policy:3 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51640 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119090.460767] TRACE: filter:OUTPUT:policy:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51640 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119090.463365] TRACE: raw:PREROUTING:policy:3 IN=vlan123 OUT= MAC=e0:97:96:0e:34:2c:34:00:a3:48:0a:a2:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=52 TOS=0x08 PREC=0x40 TTL=122 ID=17643 DF PROTO=TCP SPT=9393 DPT=36705 SEQ=1373003656 ACK=1771413421 WINDOW=8192 RES=0x00 ACK SYN URGP=0 OPT (020404EC0103030801010402)
[1119090.463413] martian source 2.2.2.2 from 3.3.3.3, on dev vlan123
[1119090.463415] ll header: e0:97:96:0e:34:2c:34:00:a3:48:0a:a2:08:00
[1119096.448988] TRACE: raw:PREROUTING:policy:3 IN=vlan123 OUT= MAC=e0:97:96:0e:34:2c:34:00:a3:48:0a:a2:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=48 TOS=0x08 PREC=0x40 TTL=122 ID=17669 DF PROTO=TCP SPT=9393 DPT=36705 SEQ=1373003656 ACK=1771413421 WINDOW=8192 RES=0x00 ACK SYN URGP=0 OPT (020404EC01010402)
[1119096.449027] martian source 2.2.2.2 from 3.3.3.3, on dev vlan123
[1119096.449029] ll header: e0:97:96:0e:34:2c:34:00:a3:48:0a:a2:08:00
[1119096.452949] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51641 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119096.452991] TRACE: raw:OUTPUT:policy:3 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51641 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
[1119096.453007] TRACE: filter:OUTPUT:policy:2 IN= OUT=eth0 SRC=2.2.2.2 DST=3.3.3.3 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=51641 DF PROTO=TCP SPT=36705 DPT=9393 SEQ=1771413420 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B4010104020103030B) UID=0 GID=0
zolden ★★★★★
() автор топика
Ответ на: комментарий от zolden

TRACE: raw:PREROUTING:policy:3 IN=vlan123 OUT= SRC=3.3.3.3 DST=2.2.2.2

У тебя ассиметрия, которую рубит rp_filter=1

Если у тебя не странные древние RH ядра, то «rp_filter=2» на eth0 & vlan123 должен решить проблему. В худшем случае rp_filter=0

Либо нужно разбираться с роутером.

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
fake ssh login
Admin
Что не так у меня с TC shaper