[technique] Routage par user via VLAN : iptables
Rémi Boulle
remi.boulle at gmail.com
Mer 17 Oct 18:36:00 CEST 2012
Le 16/10/2012 23:55, Laurent GUERBY a écrit :
> On Tue, 2012-10-16 at 22:08 +0200, Rémi Boulle wrote:
>> J'ai donc fait dans l'ordre :
>>
>> ip link add link eth0 name eth0.3196 type vlan id 3196
>>
>> ip link set eth0.3196 up
>>
>> ip addr add 91.224.149.172/24 dev eth0.3196
>>
>> iptables -t mangle -A OUTPUT -m owner --uid-owner toto -j MARK --set-mark 2
>>
>> ip rule add fwmark 2 table 2
>>
>> ip route add default via 91.224.149.254 dev eth0.3196 table 2
>>
>> ip route add 91.224.149.0/24 dev eth0.3196 table 2
>>
>> iptables -t nat -A POSTROUTING -o eth0.3196 -j SNAT --to-source
>> 91.224.149.172
>
> Bonsoir,
>
> Il manquait :
>
> echo 0 > /proc/sys/net/ipv4/conf/eth0.3196/rp_filter
>
> Avec ça les connections tcp depuis le user toto se font
> bien via tetaneutral.net, et root via le FAI filaire. L'icmp par contre
> n'est pas affecté, suite au prochain numéro :).
>
> Merci a Alexandre sur IRC.
Merci pour votre aide.
Pour ceux qui ont suivi ce fil de loin et qui auraient envie de voir de
quoi il en retourne, j'ai mis une petite synthèse/doc ici :
http://linuxedu.tetaneutral.net/blog/?p=739
++
Rémi.
Plus d'informations sur la liste de diffusion technique