Policy Based Routing/iptables mark

Alles rund um Netzwerktechnik und Protokolle
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Policy Based Routing/iptables mark

Post by EdRoxter »

Hallo zusammen,

ich kaue gerade ein wenig auf folgendem Problem rum:

Da ist ein Server, der in einem Netz als Router für div. Dinge fungiert. Nun möchte ich eigentlich gerne anhand diverser Kriterien die Routen festlegen. Ich nenne am Besten einfach die Beispiele, bei denen ich Probleme habe:

Code: Select all

ip rule add from a.b.c.d table meinetabelle priority X
funktioniert genau so, wie ich das will - Tabelle meinetabelle wird fürs Routing genutzt und die Pakete laufen da lang, wo sie sollen.

Wenn ich hingegen

Code: Select all

iptables -t mangle -A PREROUTING -p tcp -s a.b.c.d/32 -j MARK --set-mark 0x01
ip rule add fwmark 0x01 table meinetabelle priority X
mache, laufen die Pakete von host a.b.c.d ins Leere.

Code: Select all

iptables -t mangle -L
zeigt an, dass bisher 0 Pakete auf das Filterkriterium zugetroffen haben, auch, wenn die Pakete definitiv zum Router laufen - mit dem ersten Beispiel funktioniert es ja anstandslos.

Bin ich einem Denkproblem aufgesessen?
anyware
Posts: 100
Joined: 2002-11-03 00:21
Location: Berlin

Re: Policy Based Routing/iptables mark

Post by anyware »

Nutzt du an irgendeiner Stelle NAT?
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Policy Based Routing/iptables mark

Post by EdRoxter »

Jawohl. Auf dem Interface, über das in "meinetabelle" geroutet wird (enthält nur eine default route), ist MASQUERADE in POSTROUTING aktiviert und wird auch benötigt - läuft auch mit dem ersten Beispiel problemlos. Inwiefern schlägt sich das nieder?
anyware
Posts: 100
Joined: 2002-11-03 00:21
Location: Berlin

Re: Policy Based Routing/iptables mark

Post by anyware »

Ich meine mich zu erinnern, dass es mit MARK in Kombination mit MASQUERADING und NAT Probleme gibt bzw. gab. Prüf mal bitte, ob der Reverse Path Filter aktiv ist (/proc/sys/net/ipv4/conf/*/rp_filter) und schalt ihn ab.
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Policy Based Routing/iptables mark

Post by EdRoxter »

Super, das half!

Habe mich mal kurz über rp_filter informiert und der ist für meine Zwecke sowieso überflüssig.

Vielen Dank!