iptables

[Grzegorz Sójka]

On 10/23/14 19:51, Adam Osuchowski wrote:
> Grzegorz Sójka wrote:
>> Próbuje ustawić różny routing w zależności od portu docelowego. Z tego co
>> pamiętam to się robiło tak:
>> iptables -t mangle -A POSTROUTING (coś tam) -j ROUTE --gw <ip>
>> tylko zdaje się, że w iptables nie ma teraz targetu ROUTE. Da się jakoś
>> dodać ewentualnie jak to inaczej zrobić?
>
> Targetem MARK albo CONNMARK zaznaczasz odpowiednio pakiety albo flowy,
> a potem w ip rule za pomocą selektora fwmark wybierasz odpowiednią tablicę
> routingu.
Nie do końca mi idzie więc może od początku. Mam 2 maszynki (powiedzmy A 
i B) z podłączeniem do netu (IP: ExtA, ExtB) w różnych lokalizacjach 
połączone tunelem szyfrowanym (IP: IntA, IntB). Potrzebuje przeroutować 
trafic wchodzący na host A port (powiedzmy) 997 na host B poprzez tunel.

Zrobiłem tak:

Na hoście A ustawiony DNAT tak, że to co wchodzi na ExtA:997 jest 
przekierowane tunelem na IntB:997. (tu wszystko jest ok).

Na hoście B dodatkowa tabela routing "tunel" a w niej default gw IntA oraz:
ip rule add from IntB table tunel

No i generalnie działa (co dowodzi, że na hoście A iptables jest 
ustawione jak trzeba). Nie bardzo mi się to jednak podoba bo cały trafic 
z IntB jest routowany przez hosta A. Wolał bym żeby dotyczyło to tylko 
ruchu na porcie 997. Próbowałem tak:
iptables -A PREROUTING -t mangle -p tcp --dport 997 -j MARK --set-mark 1
(i to samo dla OUTPUT, POSTROUTING, INPUT z odpowiednimi sport/dport)
ip rule add fwmark 1 table tunel
i q-pa. Jak ktoś wie jak to ogarnąć to będę wdzięczny za info.