Почему подставляет неправильный source ip при использовании policy-routing?

Question

jzyken @jzyken

Почему подставляет неправильный source ip при использовании policy-routing?

Пытаюсь пустить трафик конкретного пользователя мимо VPN таким способом:

Помечаю

iptables -t mangle -A OUTPUT -m owner --uid-owner 1001 -j MARK --set-xmark 0xaaa

Создаю правило
ip rule add fwmark 0xaaa table torrent

Наполняю таблицу маршрутизации

ip route add default via 192.168.0.1 dev enp2s0 src 192.168.0.125 table torrent
ip route add 192.168.0.0/24 dev enp2s0 table torrent

И всё вроде должно работать, трафик не уходит в tun0, но пакеты почему-то идут с src ip от VPN.
Где я ошибся, что не учёл, подскажите, пожалуйста?

Вопрос задан более трёх лет назад
352 просмотра

4 комментария

Подписаться 2 Простой 4 комментария

Wexter @Wexter

вывод iptables-save покажите

Написано более трёх лет назад

jzyken @jzyken Автор вопроса

Wexter, голенький:

# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017
*nat
:PREROUTING ACCEPT [36600:10738573]
:INPUT ACCEPT [508:88888]
:OUTPUT ACCEPT [33236:7438108]
:POSTROUTING ACCEPT [33236:7438108]
COMMIT
# Completed on Fri Oct 20 03:34:12 2017
# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017
*mangle
:PREROUTING ACCEPT [1884558:1495540255]
:INPUT ACCEPT [1848511:1485003230]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1744332:1246508180]
:POSTROUTING ACCEPT [1745048:1246623936]
-A OUTPUT -m owner --uid-owner 1001 -j MARK --set-xmark 0xaaa/0xffffffff
COMMIT
# Completed on Fri Oct 20 03:34:12 2017
# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017
*filter
:INPUT ACCEPT [4953268:5694985928]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3324182:1484725175]
COMMIT
# Completed on Fri Oct 20 03:34:12 2017

Написано более трёх лет назад

Wexter @Wexter
jzyken, я так понимаю у вас src-nat не настроен, потому пакеты и уходят с адресом клиента VPN.
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
Написано более трёх лет назад
jzyken @jzyken Автор вопроса
Wexter, но это получается какой-то костыль:
# conntrack -L udp 17 29 src=10.0.0.125 dst=8.8.8.8 sport=43424 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=43424 mark=0 use=1 udp 17 27 src=10.0.0.125 dst=8.8.8.8 sport=44706 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=44706 mark=0 use=1

Да и не работает оно, src ip в итоге то правильный, и ответы приходят (судя по wireshark-у), только теряются где-то в системе, программы их не видят.
Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+2 ещё

Средний
Не вижу вводимые символы в консоли Debian 10?
- 1 подписчик
- 2 часа назад
- 47 просмотров
0

ответов
Linux

+1 ещё

Простой
Как создать свой образ Linux для размноживания на других АРМ?
- 1 подписчик
- 5 часов назад
- 76 просмотров
3

ответа
Компьютерные сети

+1 ещё

Простой
Кто из них является прикладным протоколом?
- 2 подписчика
- 15 часов назад
- 304 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- 17 часов назад
- 108 просмотров
1

ответ
Linux

Простой
Linux USB HID эмуляция на ПК — возможно?
- 1 подписчик
- 18 часов назад
- 82 просмотра
1

ответ
Linux

+1 ещё

Средний
Как сделать два VPN соединения параллельно?
- 2 подписчика
- 19 часов назад
- 305 просмотров
1

ответ
Linux

+1 ещё

Простой
Как установить linux на irbis nb656?
- 1 подписчик
- 20 часов назад
- 50 просмотров
0

ответов
Компьютерные сети

+2 ещё

Простой
Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?
- 2 подписчика
- 21 час назад
- 263 просмотра
2

ответа
Компьютерные сети

+4 ещё

Средний
Как сделать сервер видимый для рабочей группы в другой сети?
- 2 подписчика
- вчера
- 217 просмотров
4

ответа
Linux

+2 ещё

Простой
Почему в наутилусе папка распаковывается за 1 секунду, а в Windows 1 минуту?
- 4 подписчика
- вчера
- 1755 просмотров
2

ответа
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Геймдизайнер - просчет pvp боя (3 параметра) и накопление монет

23 апр. 2024, в 10:29

10000 руб./за проект

Помощь с С++ проектом

23 апр. 2024, в 10:24

2500 руб./в час

Залить товары и опции на сайт Опенкарт

23 апр. 2024, в 10:05

5000 руб./за проект

Wexter, голенький:
# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017 *nat :PREROUTING ACCEPT [36600:10738573] :INPUT ACCEPT [508:88888] :OUTPUT ACCEPT [33236:7438108] :POSTROUTING ACCEPT [33236:7438108] COMMIT # Completed on Fri Oct 20 03:34:12 2017 # Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017 *mangle :PREROUTING ACCEPT [1884558:1495540255] :INPUT ACCEPT [1848511:1485003230] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1744332:1246508180] :POSTROUTING ACCEPT [1745048:1246623936] -A OUTPUT -m owner --uid-owner 1001 -j MARK --set-xmark 0xaaa/0xffffffff COMMIT # Completed on Fri Oct 20 03:34:12 2017 # Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017 *filter :INPUT ACCEPT [4953268:5694985928] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3324182:1484725175] COMMIT # Completed on Fri Oct 20 03:34:12 2017
jzyken, я так понимаю у вас src-nat не настроен, потому пакеты и уходят с адресом клиента VPN.
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
Wexter, но это получается какой-то костыль:
# conntrack -L udp 17 29 src=10.0.0.125 dst=8.8.8.8 sport=43424 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=43424 mark=0 use=1 udp 17 27 src=10.0.0.125 dst=8.8.8.8 sport=44706 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=44706 mark=0 use=1

Да и не работает оно, src ip в итоге то правильный, и ответы приходят (судя по wireshark-у), только теряются где-то в системе, программы их не видят.

Почему подставляет неправильный source ip при использовании policy-routing?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт