application-based роутинг

0

2

Гугление выдаёт не то, что я хочу, поэтому спрашиваю у уважаемой публики, а есть ли какой-то вариант перехватывать трафик от процесса с именем указанным где-то заранее конфиге и роутить куда сказано? Ну или просто вешать метку на трафик от приложения и порождённые им процессы? дальше уже pbr можно настроить.

Есть вариант с netns, но это не совсем то что я хочу. Там надо приложение запускать в отдельном NS, а я всё же не совсем это хочу.

←	Fedora 42 Beta

PostgreSQL - просто так исчезла БД из списка

→

Запускайте процесс в отдельном cgroup, матчите по iptables -m cgroup, вешайте метку.

Пометить cgroup можно уже и на запущенные процессы.

ValdikSS ★★★★★
(19.03.25 01:25:54 MSK)

Ответ на: комментарий от ValdikSS 19.03.25 01:25:54 MSK

для tcp оно вроде работает из коробки, только нужно не забыть включить

sysctl -w net.ipv4.ip_early_demux=1
sysctl -w net.ipv4.tcp_early_demux=1

Починили ли sysctl net.ipv4.udp_early_demux=1 - не знаю.

vel ★★★★★
(19.03.25 10:04:33 MSK)

Ответ на: комментарий от ValdikSS 19.03.25 01:25:54 MSK

-m owner еще, если с cgroup не захочет заморачиваться

Kolins ★★★★★
(19.03.25 10:22:22 MSK)

Ответ на: комментарий от ValdikSS 19.03.25 01:25:54 MSK

Ладно, сам виноват, что не написал вопрос нормально. Нет cgroups, эмбеднутая железяка. ebpf есть, но я надеялся, что кто-то уже сделал.

По овнеру те же проблемы, всё от рута. Надо матчить именно по имени процесса и дальше по pgid.

Dark_SavanT ★★★★★
(19.03.25 10:41:09 MSK) автор топика

Ответ на: комментарий от Dark_SavanT 19.03.25 10:41:09 MSK

Можно через ptrace прогрузить mark на сокеты, либо через LD_PRELOAD сделать то же самое.

ValdikSS ★★★★★
(19.03.25 14:03:41 MSK)

с нетнс варик самый правильный. потому что, твое приложение может запускать дополнительные процессы с другими именами и пидами.

antech ★
(20.03.25 07:50:42 MSK)

←	Fedora 42 Beta

General

PostgreSQL - просто так исчезла БД из списка

→

Похожие темы