Всем привет)

Вот здесь есть тонкость. Состояние соседа - это то, что мы о нем думаем, а не то, что есть на самом деле ) Мы можем думать, что сосед в фулле, сосед может думать, что он в эксчендже )

с одной стороны ты прав, с другой - нельзя перейти в эксчейндж, если сосед про это ничего не знает

то есть мы должны знать, что сосед хотя бы в эксстарте

с одной стороны ты прав, с другой - нельзя перейти в эксчейндж, если сосед про это ничего не знает

Я к тому, что роутер , возомнивший себя Наполеоном, будет отправлять дбдшки когда захочет )

А, это да. От микротика всего можно ожидать

От этих пчел всего можно ждать :)

ребята а ipttables pbr работает с tun

?

А какая разница?

есть машина с vpn в другую сеть без DG задача в том чтобы отвечать туда откуда пришел запрос,отдельная таблица маршрутизации есть,fwmark есть/ tcp syn приходят а ответ не идет

такое ощущение что я налажал

ip rule по fwmark можно написать

'''

'''

```

да ё

такое ощущение что я налажал

Так и есть

Зачем fwmark?

[root@localhost ~]# ip rule show 0: from all lookup local 32765: from all fwmark 0x1 lookup 2 32766: from all lookup main 32767: from all lookup defaultip r show table 2 default via 10.0.0.1 dev tun0 10.0.0.0/24 dev tun0 scope link

Зачем fwmark?

iif тоже не работает

действительно, зачем fwmark, если известна сеть с той стороны tun0 сделать правило, что весь трафик с dst в нужную сеть матчить в table 2

iptables -t raw -nvL Chain PREROUTING (policy ACCEPT 3768 packets, 2774K bytes) pkts bytes target prot opt in out source destination 38 1904 CONNMARK tcp -- tun0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 CONNMARK set 0x1iptables -t mangle -nvL Chain OUTPUT (policy ACCEPT 2981 packets, 365K bytes) pkts bytes target prot opt in out source destination 117K 27M CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore

действительно, зачем fwmark, если известна сеть с той стороны tun0 сделать правило, что весь трафик с dst в нужную сеть матчить в table 2

ip rule add to 10.0.0.4 table2?

так не работает

from 192.168.0.0/24 to 192.168.1.0/24 lookup table2

прикол в том что я знаю сетей от туда

мой сервис dnat с шлюза в мой vpn

а ospf мне не дадут

еще 1 момент если я делаю DG шлюз vpn всё работает

https://vk.com/photo-54456105_456239043

Как и обещал Марату - один из олимпов МегаФона покорен

чот с тетей по-настоящему рядом пусто

Работает народ значится

Да и все на вещах в Усманов сити уже хотят

Это вандализм?

Вербовка коммерсантов, обещали СДСМ почитать на досуге, отличать тёплое от мягкого

не помню спрашивал или нет

есть кто шарит в диссекторах?

добрый вечер а есть ли возможность передать маркировку iptables по сети или она только в ядре?

простыми средствами - нет, нельзя

максимум - можно передать марку роута (если поднять полноценный VRF)

добрый вечер а есть ли возможность передать маркировку iptables по сети или она только в ядре?

А если не секрет, зачем возникла такая необходимость ?

Существует же куча других способов промаркировать пакеты

уже не требуеться

а вот как сделать rp.filter djghjc jxtym jcnhj cnjbn

я делаю multihome сервер

а вот как сделать rp.filter djghjc jxtym jcnhj cnjbn

https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/tree/Documentation/networking/ip-sysctl.txt#n1106

Добрый день, есть ребята которые плотно работают с juniper?

а вот как сделать rp.filter djghjc jxtym jcnhj cnjbn

очень сложный эльфийский

Добрый день, есть ребята которые плотно работают с juniper?

задавай врппрсы

Есть следующий вопрос, как проанонсировать flowspec соседу, не инсталируя его в локальную таблицу inetflow.0

пока придумал только вариант с виртуал-роутер 'flowspec' и импортом из таблички 'flowspec.inetflow.0'

хочется проще

Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.3(3)S4, RELEASE SOFTWARE (fc1)

Что это ? Циска работает на х86 с подлинукса ?

давно уже

или это какаето виртуальный АСР ?

IOS-XE это, по сути, линукс, в котором, как процесс, крутится IOS

и да, работает оно поверх обычного x86

ERROR: S client not available

как и ISR2, кстати

Тоесть это обычный Таз с линуксом ?

а ios типа как квага демон ?

не совсем обычный :) там еще асиков всяких дохуа

а IOS да, на правах процесса

Прикольно

IS-IS sleeps. BGP peers are quiet. Something must be wrong.

Джуниперовские стишки ?

угу

хоку

"jinstall64-15.1R5-domestic-signed.tgz"

сори не туда

крыша едет не спеша тихо шифером шурша... делаю multihome мне надо направить трафик на определенный интерфейс... всё настроил но прикол в том что судя по трейсу из iptables траффик идет на правильный интерфейс но с ip.src того интерфейса который DG

@kinohher ну для того, чтобы тебе помочь, нужны выводы команд iptables-save -c , ip a ls up, ip r ls table all, ip ru ls и тот трейс из iptables.

я сижу через гипервизор я не могу скопировать,но я могу сделать скриншоты

я сижу через гипервизор я не могу скопировать,но я могу сделать скриншоты

ну давай хоть скриншоты. было идеально нарисовать схему со всеми интерфейсами, адресами и маршрутами.

ну давай хоть скриншоты. было идеально нарисовать схему со всеми интерфейсами, адресами и маршрутами.

https://paste.fedoraproject.org/paste/-Eo7GjsPn7jFjDEo6A0gxF5M1UNdIGYhyRLivL9gydE=

@kinohher 0 0 CONNMARK all — tun0 * 0.0.0.0/0 0.0.0.0/0 CONNMARK set 0x1 как видишь, это правило не работает. но оно работает только для пакетов, адресованных самому хосту, и на транзитные пакеты не распространяется. это так и задумано?

@kinohher 0 0 CONNMARK all — tun0 * 0.0.0.0/0 0.0.0.0/0 CONNMARK set 0x1 как видишь, это правило не работает. но оно работает только для пакетов, адресованных самому хосту, и на транзитные пакеты не распространяется. это так и задумано?

этот хост не работает как шлюз

меня больше волнует вот это (сорри за скриншот)

меня больше волнует вот это (сорри за скриншот)

а что не так-то? ну в дампе я вижу безответные исходящие syn-пакеты от твоего хоста с вполне валидным адресом источника.

правда, непонятно, через какой интерфейс.

а что не так-то? ну в дампе я вижу безответные исходящие syn-пакеты от твоего хоста с вполне валидным адресом источника.

захват с tun0, а адрес источника от ens37 который смотрит в интернет

для проверки маршрутизации и корректного определения адресов источника выполни команды: ip route get 8.8.8.8 mark 1 и ip route get 8.8.8.8, например.

первая команда должна вернуть маршрут через tun0, а вторая через ens37

если в выводе первой команды неверный src, то сделай ip route replace 0/0 via 10.1.0.1 dev tun0 src 10.1.0.3 table 21

для проверки маршрутизации и корректного определения адресов источника выполни команды: ip route get 8.8.8.8 mark 1 и ip route get 8.8.8.8, например.

ip ro get 8.8.8.8 8.8.8.8 via 192.168.194.2 dev ens37 src 192.168.194.134 cache [kino@localhost]~% ip ro get 8.8.8.8 mark 1 8.8.8.8 via 10.1.0.1 dev tun0 src 10.1.0.3 mark 1 cache

хм.. очень интересно. а как прогу запускаешь, которая генерит эти син-пакеты?