Маркировка трафика и маршрут его через другой интерфейс

0

3

В свете последних событий есть непреодолимое желание гонять трафик определённых сервисов через другой интерфейс. Не стану озвучивать каких, думаю все и так прекрасно понимают.

В общем что я сделал:
Добавил таблицу мангл в нфтаблес

table ip mangle {
    set some_service_ipv4 {
        type ipv4_addr
        flags interval
        elements = { ip-раз, ip-два...ip-сто-пятьсот )
    }
    chain prerouting {
        type filter hook prerouting priority mangle; policy accept;
        ip daddr @some_service_ipv4 meta mark set 0x2
        tcp dport { port-раз, port-два...port-десять } meta mark set 0x2
    }
    chain output {
        type route hook output priority mangle; policy accept;
        ip daddr @some_service_ipv4 meta mark set 0x2
        tcp dport { port-раз, port-два...port-десять } meta mark set 0x2
    }
}

Добавил таблицу маршрутизации для маркированных пакетов

ip route flush table 100
ip route add default dev <interface через который хочу выпустить mangle-пакеты> table 100

Добавил правило для пуска mangle-пакетов через вышесозданную таблицу

ip rule add fwmark 0x2 table 100

И нифига не ходит :(
ЧЯДНТ…?!?

←	Решено - Ext4 vs XFS для DNS-сервера bind9 с большим количеством зон.

Rsyslog парсинг CEF логов и занесение в БД

→

Тебе нужно помимо установки метки ещё перенаправить пакеты на соответствующий ip адрес/порт.

Гугли прозрачный прокси.

anonymous
(03.12.25 07:55:46 MSK)

Ответ на: комментарий от anonymous 03.12.25 07:55:46 MSK

это у него делает правило ip rule, олигофрен. дело, похоже, в том, что метка не ставится, надо подробно разбираться с правилами nftables.

anonymous
(03.12.25 08:15:53 MSK)

Спасибо всем! Вопрос решён.
Вся схема выше рабочая, я просто обновил список IP адресов командой

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route

Собственно что скрывать? Это ай-пихи вотсапа. Для полноты картины можно сделать так

IPS=$(whois -h whois.radb.net -- '-i origin AS32934' | grep ^route | awk '{print $2}' | sort -u)
for ip in $IPS; do
    echo "            $ip," >> /tmp/whatsapp-ips.nft
done

Далее импортировать список в nftables. Да и вообще можно извратиться и накостылить скрипт, который по крону будет обновлять IP адреса WA, да и не только.

Dodik
(03.12.25 08:36:40 MSK) автор топика

Ответ на: комментарий от Dodik 03.12.25 08:36:40 MSK

Да и вообще можно извратиться и накостылить скрипт, который по крону будет обновлять IP адреса WA, да и не только.

делают так, что dnsmasq добавляет адреса в сеты.

NyXzOr ★★★★★
(03.12.25 08:52:26 MSK)

Ответ на: комментарий от NyXzOr 03.12.25 08:52:26 MSK

dnsmasq

У меня bind+kea

Dodik
(03.12.25 09:03:13 MSK) автор топика

Ответ на: комментарий от Dodik 03.12.25 08:36:40 MSK

AS32934

Эту в /dev/null надо спускать а не интерфейсы менять.

firkax ★★★★★
(03.12.25 15:51:23 MSK)

←	Решено - Ext4 vs XFS для DNS-сервера bind9 с большим количеством зон.

Admin

Rsyslog парсинг CEF логов и занесение в БД

→

Похожие темы