[technique] Routage par user via VLAN : iptables
Helios le Guillou de Creisquer
creis+teta at balios.net
Mar 16 Oct 15:35:05 CEST 2012
On Mon, Oct 15, 2012 at 07:18:26PM +0200, Alexandre Chataignon wrote:
> Je ne suis pas sur que cette ligne soit réellement nécessaire, je pense
> même qu'elle peut nuire. En effet, tu essaie de SNATer avec des paquets
> qui sortent déjà de ton PC (le match uid ne marche qu'en OUTPUT), c'est
> donc inutile et ça peut créer des effets de bords.
Pas de souci de ce point de vue la: mangle OUTPUT est avant nat POSTROUTING
dans la succession du traitement du flux.
Par contre un bete -o interface -j SNAT est peut-etre plus simple.
> > Je "connecte" la table de routage aux paquets marqués :
> > ip rule add fwmark 2 table 2
Attention a l'emplacement de cette rule. Il faut qu'elle soit AVANT d'autres
qui matcheraient le paquet sur d'autres criteres.
le script ifrt envoye hier a ete modifie pour prendre un arguement
"rt-localuser" dans une interface, afin de forcer ledit utilisateur
a sortir par la table de routage correspondant a l'interface.
Ca fonctionne:
# sudo -u test links -dump http://www.monip.fr/ | grep "Your IP address is"
Your IP address is: 62.193.x.x
# links -dump http://www.monip.fr/ | grep "Your IP address is"
Your IP address is: 91.240.x.x
Cordialement,
--
Helios le Guillou de Creisquer -- <creis at balios.net> -- +33670712029
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 198 octets
Desc: Digital signature
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20121016/4c98154e/attachment.sig>
Plus d'informations sur la liste de diffusion technique