Re: [GTER] Roteamento avançado: identificação de pacotes

Rubens Kuhl Jr. rubensk at gmail.com
Wed May 17 14:54:30 -03 2006


> iptables -A PREROUTING -t mangle -i eth1 -j MARK --set-mark 3

Ok... você poderia então ter usado o ip rule para todos os pacotes
vindos da eth1. Mas a solução com fwmark é mais versátil.

> iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
> iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE
>
> As regras do iproute eram as mesmas que já citei e o erro apresentado
> era este abaixo:

Nas regras de iproute que vc citou, você não disse se os .X ou .Y eram
os IPs do roteador de cada operadora ou o IP do seu Linux nos
segmentos de IPs públicos das operadoras.

> May 15 23:50:49 ns2 kernel: printk: 234 messages suppressed.
> May 15 23:50:49 ns2 kernel: MASQUERADE: Route sent us somewhere else.
>
> Eu depois fiquei me perguntando se não teria sido necessário limpar as
> tabela arp dos roteadores, pois pelo que percebi ele continuou

Acho que a tabela arp não, pois a associação IP-MAC se mantém. O que
precisa ser feito a cada alteração de topologia, regras de "ip rule"
inclusas, é "ip route flush cache".

> mandando pacotes com origem errada. Eu ainda não tentei a solução em
> SNAT ao invés de MASQUERADE. O que acha deste erro que apresentou? Eu

Que ele costuma acontecer com MASQUERADE e ser resolvido por trocar
para SNAT... mas que ainda pode acontecer com SNAT no caso de conexões
entrantes. Há servidores de web, e-mail ou algum outro tipo que
atendem a conexões externas no barramento da LAN, ou todos esses
serviços rodam apenas no Linux ?


> posso habilitar sem problemas outra interface para tentar novamente,
> creio que seja mais fácil que utilizar o ebtables. Caso desejem que
> mande minhas regras de firewall posso disponibilizá-las, eu não o fiz

Saber os IPs das interfaces e tabelas de rotas completas também seria
interessante, além das regras.

Caso não hajam conexões entrantes, sugiro mudar para interfaces
distintas e SNAT, e se ainda houverem problemas, postar todas as
configurações (interfaces, rotas, regras) para uma análise mais
detalhada.



Rubens



More information about the gter mailing list