Маркировка входящих соединений iptables

1

2

Подскажите как правильно сделать чтобы маркировка входящих соединений (isp*_if) не перекрывалась маркировкой входящих (clients_if).

Ситуация - допустим через инт. isp6_if пробрасываем порт кому-то на инт. clients_if и заходим с мира на этот порт. А этот клиент попадает под --set-mark 1 и перемаркировует входящее соединение через isp6_if, хотя указано --ctstate NEW.

Сейчас такая конструкция. Но почему-то не корректно оно обрабатывается.

$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp1_tbl src -j CONNMARK --set-mark 1
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp2_tbl src -j CONNMARK --set-mark 2
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp3_tbl src -j CONNMARK --set-mark 3
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp4_tbl src -j CONNMARK --set-mark 4
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp5_tbl src -j CONNMARK --set-mark 5
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp6_tbl src -j CONNMARK --set-mark 6
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp7_tbl src -j CONNMARK --set-mark 7

$IPT -w -t mangle -A PREROUTING -i $isp1_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 1
$IPT -w -t mangle -A PREROUTING -i $isp2_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 2
$IPT -w -t mangle -A PREROUTING -i $isp3_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 3
$IPT -w -t mangle -A PREROUTING -i $isp4_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 4
$IPT -w -t mangle -A PREROUTING -i $isp5_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 5
$IPT -w -t mangle -A PREROUTING -i $isp6_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 6
$IPT -w -t mangle -A PREROUTING -i $isp7_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 7

$IPT -w -t mangle -A PREROUTING -j CONNMARK --restore-mark

Ссылка

←	Объясните, что значат эти настройки в роутере

Слетели настройки

→

Я думаю что проблема в том что в момент установки соединения правило --ctstate NEW срабатывает как для первого запроса (SYN) так и для первого ответа (SYN+ACK) вот метка и переустонавливается.

Можно попробовать поработать с флагами вместо cstate или просто ставить метку только если метка еще не установлена:

-m mark --mark 0

zaz ★★★★
(22.11.15 13:58:34 MSK)
Последнее исправление: zaz 22.11.15 13:59:03 MSK (всего исправлений: 1)

Ответ на: комментарий от zaz 22.11.15 13:58:34 MSK

Я думаю что проблема в том что в момент установки соединения правило --ctstate NEW срабатывает как для первого запроса (SYN) так и для первого ответа (SYN+ACK) вот метка и переустонавливается.

Это не так, NEW это первый пакет в соединении в независимости от направлении (причем не обязательно SYN, просто первый).

или просто ставить метку только если метка еще не установлена:
-m mark --mark 0

Ага, только -m connmark

anc ★★★★★
(22.11.15 16:46:03 MSK)

Ссылка

Действительно странно, вроде все правильно. Посмотрел как у меня реализовано, отличие в -m state --state NEW, честно в чем отличие от conntrack не знаю, вроде для данного случая должно работать одинаково.
Присоединяюсь к написанному выше, проверять что марк не установлен.

anc ★★★★★
(22.11.15 16:46:27 MSK)
Последнее исправление: anc 22.11.15 16:48:52 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 22.11.15 16:46:27 MSK

-m mark --mark 0

т.е. это чистый трафик без меток?

fet4 ★
(23.11.15 00:32:40 MSK) автор топика

Ответ на: комментарий от fet4 23.11.15 00:32:40 MSK

Да. И повторюсь только -m connmark

anc ★★★★★
(23.11.15 01:16:54 MSK)

Ответ на: комментарий от anc 23.11.15 01:16:54 MSK

Спасибо всем за ответы. Сделал такую конструкцию, работает.

$IPT -w -t mangle -A PREROUTING -m conntrack --ctstate NEW -m connmark --mark 0 -j pre_ipt_isp
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp1_tbl src -j CONNMARK --set-mark 1
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp2_tbl src -j CONNMARK --set-mark 2
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp3_tbl src -j CONNMARK --set-mark 3
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp4_tbl src -j CONNMARK --set-mark 4
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp5_tbl src -j CONNMARK --set-mark 5
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp6_tbl src -j CONNMARK --set-mark 6
$IPT -w -t mangle -A pre_ipt_isp -m set --match-set $isp7_tbl src -j CONNMARK --set-mark 7

$IPT -w -t mangle -A PREROUTING -m conntrack --ctstate NEW -m connmark --mark 0 -j incoming_isp
$IPT -w -t mangle -A incoming_isp -i $isp1_if -j CONNMARK --set-mark 1
$IPT -w -t mangle -A incoming_isp -i $isp2_if -j CONNMARK --set-mark 2
$IPT -w -t mangle -A incoming_isp -i $isp3_if -j CONNMARK --set-mark 3
$IPT -w -t mangle -A incoming_isp -i $isp4_if -j CONNMARK --set-mark 4
$IPT -w -t mangle -A incoming_isp -i $isp5_if -j CONNMARK --set-mark 5
$IPT -w -t mangle -A incoming_isp -i $isp6_if -j CONNMARK --set-mark 6
$IPT -w -t mangle -A incoming_isp -i $isp7_if -j CONNMARK --set-mark 7

$IPT -w -t mangle -A PREROUTING -j CONNMARK --restore-mark

fet4 ★
(23.11.15 14:48:47 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Объясните, что значат эти настройки в роутере

Admin

Слетели настройки

→

Похожие темы