[technique] Routage par user via VLAN : iptables
Laurent GUERBY
laurent at guerby.net
Mar 16 Oct 23:55:44 CEST 2012
On Tue, 2012-10-16 at 22:08 +0200, Rémi Boulle wrote:
> J'ai donc fait dans l'ordre :
>
> ip link add link eth0 name eth0.3196 type vlan id 3196
>
> ip link set eth0.3196 up
>
> ip addr add 91.224.149.172/24 dev eth0.3196
>
> iptables -t mangle -A OUTPUT -m owner --uid-owner toto -j MARK --set-mark 2
>
> ip rule add fwmark 2 table 2
>
> ip route add default via 91.224.149.254 dev eth0.3196 table 2
>
> ip route add 91.224.149.0/24 dev eth0.3196 table 2
>
> iptables -t nat -A POSTROUTING -o eth0.3196 -j SNAT --to-source
> 91.224.149.172
Bonsoir,
Il manquait :
echo 0 > /proc/sys/net/ipv4/conf/eth0.3196/rp_filter
Avec ça les connections tcp depuis le user toto se font
bien via tetaneutral.net, et root via le FAI filaire. L'icmp par contre
n'est pas affecté, suite au prochain numéro :).
Merci a Alexandre sur IRC.
Sincèrement,
Laurent
Plus d'informations sur la liste de diffusion technique