и с точки зрения выбора сорса оно должно было улететь в дефолт, и только потом все промаркировалось и улетело не туда

а nat применится если он на eth0 был?

возможно кстати оно может снатиться при выходе уже с tun0 я хз как оно будет работать

только если там этот SNAT явно указан, в механизме роутинга никакого ната нет)

Смотри. Ты хочешь послать пакет. Смотришь таблицы, видишь что 108.174.10.10 via 95.143.124.193 dev eth0 src 95.143.124.194 cache Начинаешь слать. Пакет проходит через сетевой стек, в том числе и Iptables. Мам ему дают метку. И внезапно видишь что тебе правило говорит дуть в другую таблицу. А там default dev tun0 scope link Просто меняем выходную дырку

Лан, если это пахнет костылями. Тогда другой вопрос)) Могу ли я как то проверить, сидя на шлюзе, что для всех тачек за шлюзом мои настройки работают? Без доступа к этим тачкам естессно

нет

tcpdump

ну да. tcpdump поможет коненчо

только елси тачки трафик генерят

только елси тачки трафик генерят

в том то и проблема((

Вообще в линуксе все ебать логично, просто нужно осознать логику

Лан, если это пахнет костылями. Тогда другой вопрос)) Могу ли я как то проверить, сидя на шлюзе, что для всех тачек за шлюзом мои настройки работают? Без доступа к этим тачкам естессно

да почему бы снат туда не сделать? если доступа на тачки нет по любому придется что-то дебажить в последствии

ага

Вообще в линуксе все ебать логично, просто нужно осознать логику

++

да почему бы снат туда не сделать? если доступа на тачки нет по любому придется что-то дебажить в последствии

у меня цель была скорее проверить как оно для тачек за шлюзом работать будет. Но мне тут донесли что я кажется творю хуйню и оно так не заработает, точнее работает иначе)))

Лан, до утра подожду, потом траф поснифаю. Спасибо ребят за помощь!

почему не заработает, просто надо еще добавить кой чо

а тачки в этот tun без ната улетают?

мне кажется эти блокировки многим скил прокачают)))

или наттся на той стороне?

мне кажется эти блокировки многим скил прокачают)))

ооо да)

а тачки в этот tun без ната улетают?

В tun вообще ничего не ходит. Планировалось что туда как раз полетит трафик до IP которые в ipset

или наттся на той стороне?

я хотел натить их на шлюзе

я хотел натить их на шлюзе

tcpdump осваивай

он все покажет

т.е. чтоб сам шлюз ходит уже в tun и доставал че нужно

это ваще основной инструмент сетевика))

я хотел натить их на шлюзе

шлюз это с той стороны tun или с этой?)

без него можно сразу застрелиться

сделай tcpdump -i tun0 -n

и посмотри какой трафик от тебя идет

и скинь сюда

это ваще основной инструмент сетевика))

жаль только много кто может запустить, а вот интерпретировать результат запуска не всегда)

ну надо качать скил

шлюз это с той стороны tun или с этой?)

с этой))) клиенты -> шлюз(тут и tun и nat вся хурма) -> шлюз в свободных странах

тогда нат по любому добавлять

и вся схема вобщем то заработает

и скинь iptables-save сюда

и с аутпут и с прероутингом

ну да. нат надо палюбак

и посмотри какой трафик от тебя идет

Ну все верно. src не тот. # tcpdump -i tun0 -n tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes 01:43:26.493166 IP 95.143.124.194.35912 > 108.174.10.10.80: Flags [S], seq 1410573732, win 29200, options [mss 1460,sackOK,TS val 960660 ecr 0,nop,wscale 7], length 0 01:43:27.493462 IP 95.143.124.194.35912 > 108.174.10.10.80: Flags [S], seq 1410573732, win 29200, options [mss 1460,sackOK,TS val 960911 ecr 0,nop,wscale 7], length 0 01:43:29.497682 IP 95.143.124.194.35912 > 108.174.10.10.80: Flags [S], seq 1410573732, win 29200, options [mss 1460,sackOK,TS val 961412 ecr 0,nop,wscale 7], length 0 01:43:33.505461 IP 95.143.124.194.35912 > 108.174.10.10.80: Flags [S], seq 1410573732, win 29200, options [mss 1460,sackOK,TS val 962414 ecr 0,nop,wscale 7], length 0 должен быть 10.88.0.10 который висит на tun0

блять. все таки нат делается все равно

нат добавить надо

блять. все таки нат делается все равно

ненене, это дамп когда я с сервака сделал wget

делатся делается

ненене, это дамп когда я с сервака сделал wget

без ната в этой схеме сорс не поменяется всеравно

даже с сервака

короч попробуй добавить iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

я не уверен что это поможет. хз, проходят еще раз пакеты nat таблицу или нет

тольк -o tun0

да

попадут они потом в нат

короч попробуй добавить iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

А вот такое не канает? Просто оно уже добавлено: -A POSTROUTING -s 10.2.0.0/16 -o tun0 -j MASQUERADE

а еще

нет

-s лишнее

хм

может и да

не лишнее

но надо еще -A OUTPUT -s 10.2.0.0/16 -o tun0 -j MASQUERADE

возможно

или добавить еще одно -s внешнего адреса или убрать -s

с самого сервера не будет ходить

но надо еще -A OUTPUT -s 10.2.0.0/16 -o tun0 -j MASQUERADE

не надо

не надо нат в аутпут

точно? если с самого сервера тестить, то надо

Нет в нате аутпута же

О, огонь, заработало))

точно? если с самого сервера тестить, то надо

нет, с сервера построутинг проходит тоже

или есть?

что именно

нет, с сервера построутинг проходит тоже

вроде нет

зх

Но точно не используется никогда и никем

иначе зачем chain output

Построутинг проходит

в nat

https://ru.wikipedia.org/wiki/Netfilter#/media/File:Netfilter-packet-flow.svg

вроде нет

точно да)

и то, что у него заработало это подтверждает