[technique] Routage par user via VLAN : iptables
Helios le Guillou de Creisquer
creis+teta at balios.net
Lun 15 Oct 16:09:39 CEST 2012
Hello,
On Mon, Oct 15, 2012 at 03:33:41PM +0200, Rémi Boulle wrote:
> iptables -t nat -A POSTROUTING -o eth0.3196 -m mark --mark 2 -j SNAT
> --to-source 91.224.XXX.YYY
Oui mais peut-etre faudrait-il par commencer a marquer les paquets en PREROUTING
ou dans -t mangle ? et simplifier la regle de POSTROUTING.
Cette regle ne matchera jamais autre chose que ce qui doit DEJA sortir via eth0.3196.
Tu as fait un marking precedemment, aucune raison de le garder la.
> ip rule add fwmark 2 table 2
>
> Et là on indique qu'il faut sortir via 91.224.149.254 (qui est la GW
> chez TTN ?) :
>
> ip route add default via 91.224.149.254 dev eth0.3196 table 2
il faut en PREROUTING, marker le paquet des son entree.
-> donc ca va selectionner d'apres la rule susdite, la bonne table
-> donc ca va sortir par eth0.3196
-> et la tu source-nat.
Pour gerer plusieurs routes par defaut sur un linux, et plus particuliere sur
debian, j'utilise ca:
http://stor.balios.net/ifrt/
("ifrt" se rajoute dans /etc/network/if-{up,down}.d/, interfaces est un example d'utilisation).
Jeter un oeuil peut permettre de mieux comprendre comment c'est gere au niveau du flux sur Linux.
en resume:
- mangle OUTPUT match user set mark
- rule fwmark 2 table 2
- ip route table 2 avec la default
- iptables -t nat -A POSTROUTING avec du sourcenat, sans autre matching que -o eth0.3196
devrait le faire...
A+
PS: Et bonjour a tetaneutral, dont je decouvre la ML :)
--
Helios le Guillou de Creisquer -- <creis at balios.net>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 198 octets
Desc: Digital signature
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20121015/36e5c8fb/attachment.sig>
Plus d'informations sur la liste de diffusion technique