Iptables & маркировка пакетов

0

1

Почему при маркировки пакетов с определенного mac-адреса не получается выйти во внешнюю сеть?

$IPT -t mangle -A PREROUTING -m mac --mac-source 1C:AF:F7:0D:49:1A -m comment --comment "nout" -j MARK --set-mark 2
$IPT -A FORWARD -m mark --mark 2 -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IF -j MASQUERADE

Полный конфиг iptables

Ссылка

←	У доменного пользователя не подключается usb flash.

[Linux] Vlan'ы и внешние интерфейсы.

→

тут:

$IPT -t mangle -A PREROUTING -m mac --mac-source 1C:AF:F7:0D:49:1A -m comment --comment "nout" -j MARK --set-mark 2
$IPT -P FORWARD DROP
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 2 -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -j DROP
$IPT -A FORWARD -p icmp -j ACCEPT
$IPT -A FORWARD -i $LOCAL_IF -p tcp --dport 5190 -j ACCEPT
$IPT -A FORWARD -m mark --mark 2 -j ACCEPT

вы разрешаете трафик от 1C:AF:F7:0D:49:1A куда то еще. Подозреваю что для того чтобы «выйти во внешнюю сеть» нужно еще получить ответ от этого «куда то» и ясно что в ответе будет совсем другой src_mac и ответ этот успешно дропнется. Смотрите tcpdump.

ventilator ★★★
(23.05.11 21:00:52 MSK)

Ответ на: комментарий от ventilator 23.05.11 21:00:52 MSK

Вроде понял, спасибо за мысль...

mrtmexx
(23.05.11 21:14:47 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	У доменного пользователя не подключается usb flash.

Admin

[Linux] Vlan'ы и внешние интерфейсы.

→

Похожие темы