[Sysadmins] Хитрые настройки iptables
Aleksey Avdeev
=?iso-8859-1?q?solo_=CE=C1_solin=2Espb=2Eru?=
Пт Фев 3 01:51:58 MSK 2006
Maxim Tyurin пишет:
> Aleksey Avdeev writes:
>
>
>>Denis Kirienko пишет:
>>
>>>Vladimir V. Kamarzin пишет:
>>>
>>
>>...
>>
>>>Непонятно, как разрулить через ip rule. В ip rule нельзя задать в
>>>качестве критерия номер порта. И судя по iptables tutorial пометить
>>>исходящий пакет тоже нельзя: routing decision принимается до попадания
>>>пакета в mangle.
>>
>> Можно: когда срабатывает ip rule -- пакет ещё в ядре. (У меня --
>>работает.)
>
>
> Точно работает?
> Для трафика *от локального процесса*?
Точно. :-)
>
>>PS: См. <http://www.opennet.ru/docs/RUS/LARTC/x1308.html> на предмет
>>фильтрации по метке пакета.
>
>
> OUTPUT ROUTING срабатывает раньше iptables OUTPUT
>
> Транзитный трафик можно крутить как угодно, а от локального процесса
> нет :(
И транзитный, и локальный трафик, требующие обработки в таблице
mangle (в цепочках PREROUTING и OUTPUT соответственно) заворачиваю в
одну цепочку. Где и помечаю.
Работает, однако. :-)
--
С уважением. Алексей.
Подробная информация о списке рассылки Sysadmins