Часть трафика мимо vpn?

0

1

Планирую построить следующую схему: клиент - шлюз - vpn сервер - инет

Нужно часть трафика по фиксированным ip завернуть по схеме: клиент - шлюз - инет

Шлюз на полноценном ubuntu. Правильно ли это сделать в цепочке forward шлюза:

iptables -A FORWARD -i tun0 ! -d 1.1.1.1 -j ACCEPT
iptables -A FORWARD -i eth0   -d 1.1.1.1 -j ACCEPT
iptables -P FORWARD                      -j DROP

А списки понятное дело через ipset пойдут.

Решение лежит тут, с точностью до наоборот: https://www.wisereport.ru/linux-routing-sites-vpn/

Ссылка

←	Cenos 7 умер VDS

SSH не реагирует при подключении из внешке

→

Думаю, что лучше залезть в prerouting и postrouting. Либо же ориентироваться по источнику.

metal-psix
(29.06.18 10:48:26 MSK)

нет.

iptables/forward это только разрешение передавать пакеты, а решение о том, куда пихать пакет это таблица маршрутизации.

Если маршрут зависит от адреса клиента, то это уже policy routing

vel ★★★★★
(29.06.18 10:51:34 MSK)

Ответ на: комментарий от metal-psix 29.06.18 10:48:26 MSK

В том-то и дело, что источник один и тот же. Суть в том, что весь трафик надо завернуть через vpn, а сервера игр без vpn, там задержки хождения пакетов очень критичны.

Dimarius ★
(29.06.18 11:01:50 MSK) автор топика

Ссылка

может быть, это пригодится? https://github.com/qwj/python-proxy

bvn13 ★★★★★
(29.06.18 11:03:18 MSK)

Ответ на: комментарий от vel 29.06.18 10:51:34 MSK

Спасибо, буду курить таблицы роутинга.

Dimarius ★
(29.06.18 11:05:35 MSK) автор топика

Ссылка

Ответ на: комментарий от bvn13 29.06.18 11:03:18 MSK

Спасибо, но прокси не подходит.

Dimarius ★
(29.06.18 11:07:54 MSK) автор топика

Ответ на: комментарий от Dimarius 29.06.18 11:07:54 MSK

скорее всего, подходят https://i.imgur.com/ku6Ny6q.png

bvn13 ★★★★★
(29.06.18 11:09:17 MSK)
Последнее исправление: bvn13 29.06.18 11:09:47 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от vel 29.06.18 10:51:34 MSK

Маршрут зависит только от адреса назначения для всех клиентов.

Dimarius ★
(29.06.18 11:12:55 MSK) автор топика

Ответ на: комментарий от Dimarius 29.06.18 11:12:55 MSK

тогда достаточно настроить таблицу маршрутизации.

vel ★★★★★
(29.06.18 13:10:33 MSK)

Ссылка

Я вот так делал:

ip rule add fwmark 1 table 1
ip route add default via 192.168.88.1 table 1
iptables -t mangle -A OUTPUT -p tcp -d music.yandex.ru -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p tcp -d 2ch.hk -j MARK --set-mark 1
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.88.153

192.168.88.1 - это адрес роутера 192.168.88.153 - адрес десктопа с которого я сижу eth0 - интерфейс подключенный к роутеру

ipset я не использовал у меня мало адресов.

mythCreator
(01.07.18 00:27:51 MSK)

Ответ на: комментарий от mythCreator 01.07.18 00:27:51 MSK

Спасибо, вот это похоже как раз то, что искал. Буду пробовать.

Dimarius ★
(02.07.18 09:16:45 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Cenos 7 умер VDS

Admin

SSH не реагирует при подключении из внешке

→

Похожие темы