Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1560 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Marquer des paquets avec iptables.

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Marquer des paquets avec iptables.

n°1315673
hppp
Serveur@home
Posté le 07-07-2012 à 11:21:58  profilanswer
 

salut à tous,
 
Je voudrais marquer des packets avec iptables et PREROUTING pour après les rediriger sur plusieurs interfaces WAN, 3 exactement.
J'ai donc fais par exemple un :
 

Code :
  1. iptables -A PREROUTING -s 10.10.10.0/255.255.255.0 --protocol tcp --dport 443 -t mangle -j MARK --set-mark 100


 
Mais je n'arrive plus à me connecter à mon serveur web sur 10.10.11.254 car le paquets est marqué et envoyé directement sur l'interface de sorti sans regarder la table de routage. Savez vous comment faire pour dire à iptables de ne pas marquer les paquets avec pour destination 10.10.11.254? j'avais pensé à :
 

Code :
  1. iptables -A PREROUTING -s 10.10.10.0/255.255.255.0 -d 10.10.11.254 --protocol tcp --dport 443 -t mangle -j MARK --set-mark 0


 
Mais non ...
 
Merci de votre aide.


Message édité par hppp le 07-07-2012 à 11:22:26
mood
Publicité
Posté le 07-07-2012 à 11:21:58  profilanswer
 

n°1315677
o'gure
Modérateur
Multi grognon de B_L
Posté le 07-07-2012 à 12:35:37  profilanswer
 

Pour ton test il faut que ta règle spécifique sur ton serveur soit placée avant la plus générale.
 
Sinon, essaye le !  

[!] -s, --source address[/mask][,...]
    Source specification. Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel. Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea. The mask can be either a network mask or a plain number, specifying the number of 1's at the left side of the network mask. Thus, a mask of 24 is equivalent to 255.255.255.0. A "!" argument before the address specification inverts the sense of the address. The flag --src is an alias for this option. Multiple addresses can be specified, but this will expand to multiple rules (when adding with -A), or will cause multiple rules to be deleted (with -D).  
[!] -d, --destination address[/mask][,...]
    Destination specification. See the description of the -s (source) flag for a detailed description of the syntax. The flag --dst is an alias for this option.

n°1315682
hppp
Serveur@home
Posté le 07-07-2012 à 14:33:08  profilanswer
 

le problème c'est que je prends un :
 

Code :
  1. iptables: No chain/target/match by that name.


 
J'ai l'impression que le PREROUTING n'aime pas la destination adresse.

n°1315717
hppp
Serveur@home
Posté le 08-07-2012 à 19:38:45  profilanswer
 

pas d’idées?

n°1315718
gleak
Posté le 08-07-2012 à 19:46:35  profilanswer
 

specifie la table juste apres l'argument PREROUTING ?


Message édité par gleak le 08-07-2012 à 19:46:43
n°1315719
hppp
Serveur@home
Posté le 08-07-2012 à 21:53:48  profilanswer
 

la table?

n°1315720
o'gure
Modérateur
Multi grognon de B_L
Posté le 08-07-2012 à 22:01:24  profilanswer
 

-t mangle

n°1315748
hppp
Serveur@home
Posté le 09-07-2012 à 12:51:28  profilanswer
 

c'est ok merci ;)

n°1374006
Hydrogen
E : Explosif
Posté le 27-02-2015 à 09:35:34  profilanswer
 

je profite du topic pour demander : le --set-mark, ca fonctionne jusqu'à quelle valeur?
à priori c'est la même taille que le champ TOS de l'entête ip, donc sur 5 bits, donc de 0 à 31. c'est bien ça? ou il n'y a pas de limitation sachant que le champ TOS n'est en fait pas marqué. :??:

n°1374016
o'gure
Modérateur
Multi grognon de B_L
Posté le 27-02-2015 à 19:37:04  profilanswer
 

Bonjour,
--set-mark ne touche pas au champ dscp. Pour ça tu as une autre target DSCP avec --set-dscp.
le set-mark colle une sorte de "label" lors de la manipulation du paquet interne à la machine pour être utiliser par exemple par tc et iproute.
Dans le code netfilter/réseau, le paquet est "géré" par une structure de donnée, c'est juste un champs de cette structure. Une sorte de méta-information local.


Message édité par o'gure le 27-02-2015 à 19:42:08

---------------
Relax. Take a deep breath !
mood
Publicité
Posté le 27-02-2015 à 19:37:04  profilanswer
 

n°1376264
Hydrogen
E : Explosif
Posté le 02-05-2015 à 23:14:04  profilanswer
 

merci pour l'info :jap:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Marquer des paquets avec iptables.

 

Sujets relatifs
[iptables] problème avec des règles.iptables - snat - conntrack : possible ?
Latex : Rajouter des paquetsIptables, ouvrir acces
[IPTABLES] redirection d'IP[IPTABLES] Plus d'accès au réseau local une fois le POSTROUTING enlevé
Debian - Xen server - Iptables - Nat - Webserveranalyser les logs iptables via interface web
syslog-ng et iptablesIPTABLES: comment marquer des paquets à partir d'une règle de filter ?
Plus de sujets relatifs à : Marquer des paquets avec iptables.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.063 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR