[GTER] PBR IPTABLES IPV6

Adriano Macedo adriano at mcinfor.com.br
Mon Aug 18 09:36:24 -03 2014 

Rubens,

Sobre o IPV4:
Realmente tenho problemas com assimetria de tráfego, estou estudando a 
forma de implementar o modelo sugerido.

Sobre o IPV6:
A maior dificuldade não é o firewall e sim as configurações de IP Rule e 
IP Route.

ip rule add fwmark 2 table 200

ip route add default via 10.0.0.1 table 200





On 17-08-2014 09:49, Rubens Kuhl wrote:


> On Sun, Aug 17, 2014 at 9:22 AM, Adriano Macedo <adriano at mcinfor.com.br>
> wrote:
>
>> Olá caros amigos, alguém poderia me dizer se é possível fazer um
>> redereicionamento de tráfego(http cache) a partir de endereçamento IPv6 em
>> Linux. Uso as seguinte regras para IPv4:
>>
>>
>> iptables -t mangle -A PREROUTING -i eth1 -s 200.0.0.0/20 -p tcp --sport
>> 1024:65535 --dport 80 -j MARK --set-mark 2
>>
>> iptables -t mangle -A PREROUTING -i eth2 -d 200.0.0.0/20 -p tcp --sport
>> 80 --dport 1024:65535 -j MARK --set-mark 2
>>
>> ip rule add fwmark 2 table 200
>>
>> ip route add default via 10.0.0.1 table 200
>>
> Dois comentários sobre seu conjunto de regras v4:
> 1) Me parece que ele está assumindo que qualquer coisa de porta alta para
> porta 80 no retorno é retorno do cache, e isso pode ou não ser verdade.
> 2) Você não cita se o cache está em outra interface (ex: eth3), mas deve
> estar para isso tudo funcionar sem o tráfego do cache ser redirecionado de
> volta para o cache
>
> Na questão de tráfego de retorno, a marcação do conntrack tende a ser mais
> segura para saber que algo é retorno do cache:
>
> iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
> iptables -t mangle -A PREROUTING -i eth1 -s 200.0.0.0/20 -p tcp -dport 80
> -j MARK --set mark 2
> iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
>
> Não cheguei a usar isso em v6, mas não vejo porque não funcionaria, desde
> que seja num kernel não muito arcaico e você tenha o ip6tables instalado.
> Notar que no caso do CONNMARK você vai precisar duplicar os comandos entre
> o iptables e o ip6tables, mesmo que não haja um match v6 na regra, pois são
> processamentos distintos.
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list