linkodd Posted January 10, 2016 Собрал nDPI, хотел сквозь бридж dscp метки на трафик добавлять. Попробовал через physdev работать. Заработало, но не хотелось бы расширения iptables использовать. Через routing согласно инструкции http://www.tldp.org/HOWTO/Bridge+Firewall-3.html собрал конфигурацию. В последствии даже подключил через sysctl arp_proxy, forwarding на всех интерфейсах. Не заработало никак. ввел правила(и вместе вводил, и по отдельности) route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1 route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0 Оно даже запустилось и пакеты пошли через iptables, но через несколько минут все прекратилось(не фиксируют дефолтные правила в iptables). Редкие пакеты проскальзывают. Использовал пинги с винды для теста. конфигурация тестовой сети. WinXP <===> linux Bridge <====> mirkotik(NAT) Все в одной подсети находятся. В общем, что делать и как быть? Инфы по данному вопросу в сети почти нет. Проблема в том, что ndpi работает только через iptables. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 10, 2016 ebtables Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
linkodd Posted January 10, 2016 не вариант. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 10, 2016 Дык у вас бридж. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
linkodd Posted January 10, 2016 Дык у вас бридж. согласно документации с нетфильта.ком есть 2 варианта, роутинг и вызов иптэйблс самим коммутатором. второй вариант похож на physdev, а вот с первым у меня возникли проблемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
linkodd Posted January 11, 2016 (edited) конфиграция тестовой сети винда <eth1> linux BRIDGE<eth0> mikrotik(gateway) 192.168.1.22/25 192.168.1.15/25(eth0) 192.168.1.1/25 ip route add 192.168.1.22 dev eth1 ip route add default via 192.168.1.1 dev eth0 ebtables -t broute -A BROUTING -j redirect --redirect-target DROP Ситуация: 1)запускаю пинги с винды до линукса и микротика. Пинги идут и счетчики пакетов в iptables идут для обоих пингов. 2) через 1-5 минут пинги до микротика прекращаются. Я останавливаю пинг до линукса(хотя он идет нормально) и вижу, что счетчик пакетов iptables остановлен(кроме редких пакетов), а в ebtables идет нормально. 3) tcpdump -i eth1 вижу из пингов только реквесты с 192.168.1.22 и проскакивают пакеты с интерфейса eth0, которых как бы не дожно было быть. Вопрос: в чем проблема? Edited January 11, 2016 by linkodd Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted January 11, 2016 Маршрутизацией занимается маршрутизатор, а не мост. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
linkodd Posted January 11, 2016 Маршрутизацией занимается маршрутизатор, а не мост. таки понятно...все уже работает без моста. Но данная реализация допускается в документации из нетфильтр.ком как рабочая. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
