[eside-ghost] cuestión con iproute2
Egoitz Aurrekoetxea
egoitz en ramattack.net
Mar Mar 25 07:22:30 CET 2008
Buenas señor zgor!
zgor wrote:
> Aupi,
>
> Me está pasando una cosita curiosa, a ver si se os ocurre algo ....:
> -tengo un host con varios ifaces, entre ellos 1 iface con
> direccionamiento privado que está conectado a un switch con 2 gateways
> hacia internet con sus 2 ips publicas respectivas.
> Si me pongo de ruta por defecto en ese host el gw1, confirmo que salgo
> por él, lo mismo para el gw2.
>
> ¿Que quiero hacer?
> ==> lo tipico de routing con marcas del firewall, sin ningun truco
> raro ni aventurillas.
> => si lo hago para el routing de la lan que está detras, va de lujo.
> => pero si lo hago para la propia salida del host, no funciona bien.
>
> en concreto para el host, pongamos que hago:
> ip route add default via gw2 table gateway2
> iptables -t mangle -A OUTPUT -p icmp -j mark --set-mark 0x2
> ip rule add fwmark 0x2 table gateway2
>
> confirmo que los paquetes son marcados correctamente:
> iptables -t mangle -L OUTPUT -n -v -x y veo como aumentan si envio
> pings y tal
>
> pero luego no salen por el gateway2, salen por el 1 ....
o sea por el que habías probado primero... supongo que has hecho antes
de poner el 2 un route del default para quitar la default gw 1 no? a
veces a mi me ha pasado tener dos sin darme cuenta... y por eso no ir
bien...
>
> asi que por si acaso, marco tb en PREROUTING poniendo -s la ip del
> propio host pero tampoco funciona (a parte de ver que no hacen match).
>
> lo curioso es que si lo hago en mi portelo, si que me tira bien,
> simulando un escenario parecido (siempre en OUTPUT de mangle, etc ...).
> las unicas diferencias:
> -que tengo un 2.6.x y en el host es un 2.4.x (y no se puede cambiar,
> pero tiene todos los targets y matchs de netfilter bien compilados).
> -que mis 2 gateways simulados estan en dos ifaces distintos no en el
> mismo.
o sea que el otro caso es un gw que usa 2 ips publicas distintas en el
mismo router? digo no será un tema de advanced outbound nat o similar?
se me ocurre no se...
ya nos dirás!!!
>
>
>
> alguna idea ¿?
>
>
> thanks mil :))
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
Más información sobre la lista de distribución eside-ghost