Sergey
т.к. роутеры меняются
Sergey
фейловер там, переезд
Маfеt
а ну если меняются то да
Sergey
не хватало еще маки перетаскивать)
Маfеt
но в теории можно же))
Sergey
даже на практике можно
sexst
У меня /32 поголовно как раз фейловера для. Хостеры, как мне думается, тоже не из-за экономии так делают
Маfеt
не занимался таким извращением даже для теста
Sergey
только не via mac, а via фейковый адрес, а для адреса роут в сетевуху и мак статикой
sexst
/32 можно как говно по проруби швырять по платформам
Sergey
а еще есть шлюз, который обычно в той же сети обязательно
Для адреса 2:5020/40 какой будет шлюз?
Andrey
Всем привет
Подскажите плз по iptables.
Хочу метить пакеты до ip из списка ipset.
Вот такое правило:
iptables -A PREROUTING -s 10.2.0.0/16 -m set --match-set stage dst -j MARK --set-xmark 0x1/0xffffffff
действует только для клиентов за шлюзом. Но на пакеты самого шлюза (wget) не действует. Как исправить?
sexst
Любой
Andrey
в мангле есть аутпут
iptables -t mangle -A OUTPUT -s 10.2.0.0/16 -m set --match-set stage dst -j MARK --set-xmark 0x1/0xffffffff
так?
Маfеt
я только изза телеги стал интересоваться ипв6
Sergey
/32 можно как говно по проруби швырять по платформам
/32 вообще удобно, перевозить по сети как угодно можно, а если все свое - анонсишь по bgp прям с конечного сервера и все
sexst
Demetrius
вот для меня базовая вещь - это то, что есть в ipv4 сеть. есть у нее маска. значит сеть начинается с 0 до 255 например. 0 это номер сети. 255 броадкаст. эффективные адреса с 1 до 254. есть еще базовая вещь сети 10 , 172, 192. есть еще сети для локалки, но это другое. есть 224/4 - это мульткаст. есть 255.255.255.255 это броадкаст
Это бесконечно далеко от правды. Ип4 устроен совсем не так. Маска это кастыль для ос. В ип6 бкасты заменены мультикастами и маска там уже не кастыль
Маfеt
так и знал
sexst
Костыль. Причем еще более жестко прибитый.
Маfеt
нужно переосмысление
sexst
Там основное что нужно переосмыслить это классы адресов - Link-local, global и как оно конечному пользователю отдается
Маfеt
блять. это какие-то ноды в фидо ))
Маfеt
я хз
Маfеt
похоже на троллинг
sexst
40.1 это шо за дробная маска?
Sergey
может это уже не про v6 ?)
sexst
Вот если только.
MOXHATOE
Но ip заблочат
Точно, ркн же. Ничего, у меня где-то под кроватью был модем. Буду держать zmh
Andrey
Так
Неа. Не помогло. Локально wget с шлюза все равно идет не по той таблице в которую должен.
iptables -A PREROUTING -s 10.2.0.0/16 -m set --match-set stage dst -j MARK --set-xmark 0x1/0xffffffff
# ip rule
0: from all lookup local
220: from all lookup 220
1000: from all fwmark 0x1 lookup 320
32766: from all lookup main
32767: from all lookup default
Маfеt
Маfеt
?
Маfеt
если локально
sexst
iptables -t mangle -A OUTPUT -s 10.2.0.0/16 -m set —match-set stage dst -j MARK —set-xmark 0x1/0xffffffff
Маfеt
prerouting это ведь про форвардинг
sexst
Писали же
Andrey
ооой, сорян. Чет не накатилось =\
sexst
output это все, что локально генерится, prerouting оно для сквозного. Аналог в железе - трафик с control-plane и для data-plane
Andrey
А, не. Это я хрень скопировал.
*mangle
:PREROUTING ACCEPT [17356:4737191]
:INPUT ACCEPT [4033:303540]
:FORWARD ACCEPT [13323:4433651]
:OUTPUT ACCEPT [3773:310940]
:POSTROUTING ACCEPT [17088:4744055]
-A OUTPUT -s 10.2.0.0/16 -m set --match-set stage dst -j MARK --set-xmark 0x1/0xffffffff
Вот так оно сейчас
Маfеt
дык
Маfеt
а у тя чо локальный адрес 10.2.0.0
Маfеt
?
sexst
ip route get до назначения какой?
Маfеt
надо -o делать на интерфейс куда уйти должно
Маfеt
это у тя внутренний какойто
Маfеt
наверняка есть внешний
sexst
ip route get x.x.x.x. ПОкажет как будем к цели слать
Andrey
ip route get x.x.x.x. ПОкажет как будем к цели слать
# ip ro get 108.174.10.10
108.174.10.10 via 95.143.124.193 dev eth0 src 95.143.124.194
cache
Маfеt
ну вот
sexst
src 95.143.124.194
Маfеt
делай iptables -t mangle -A OUTPUT -o eth0 -m set —match-set stage dst -j MARK —set-xmark 0x1/0xffffffff
sexst
Нужно явно маршрут с указанием src создавать
Маfеt
iptables -t mangle -A OUTPUT -s 95.143.124.193 -m set —match-set stage dst -j MARK —set-xmark 0x1/0xffffffff
Маfеt
или так
Маfеt
зачем с внутрянки
Маfеt
все равно занатится
sexst
Маfеt
это хз как будет работать по моему
Маfеt
если с внутреннего
Andrey
Нужно явно маршрут с указанием src создавать
# ip rule
0: from all lookup local
220: from all lookup 220
1000: from all fwmark 0x1 lookup 320
32766: from all lookup main
32767: from all lookup default
# ip ro list table 320
default dev tun0 scope link
sexst
Не. Это не так работает
Маfеt
а в чем смысл то
sexst
iptables уже когда реально шлем работает
Andrey
Смысл в том чтобы пакеты идущие на ip из спика ipset, заворачивать в tun0, а все остальное отправлять в eth0
Andrey
tun0 это банальный openvpn
Маfеt
а чо просто роут не добавить?
sexst
До этого про метки не знаем и шлем без учета rule с метками. Получаем src 95.143.124.194, шлем пакет. И в процессе пропихивания через ipt оказывается что таблицу меняем
Маfеt
вот это про Ip rule и все больше нужно, когда надо по src роутить