Перейти к содержимому
Калькуляторы

странность с iptables если пакет проходит через линуксбокс 2 раза

Ответить

sirmax   

sirmax
Опубликовано · Жалоба

Коллеги, что то я запутался.

Есть тестовый стенд

 

+---------------------------------------+
|                          +----BR0---+ | 
|        [VirtualMachine1]-tap1------eth2--------[sWITCH opt 82 insertion]-->---+
|                          +----------+ |                                       |
| Server                                |                                       |
|                                    eth1.2001----<-----------------------------+
+---------------------------------------+

 

Cхемка такая собрана для тестирования, и я сталкнулся со следующей проблемой:

Траффик идущий с виртуальной машины никогда не попадает в iptables под правила вида:

 

iptables -t nat -I PREROUTING  --in-interface eth1.2001

 

Вопрос - можно ли каким-то образом поменять данное поведение?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

s.lobanov   

s.lobanov
Опубликовано · Жалоба

выкладывайте ifconfig eth1.2001, а также дамп одного пакета в формате pcap, который вы хотите, чтобы прошёл через цепочку PREROUTING таблицы nat

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

sirmax   

sirmax
Опубликовано · Жалоба

Setting

sysctl net.bridge.bridge-nf-call-iptables=0

to disable passing

bridged packets to netfilter shouldf fix the problem

Решило мою проблему.

 

Когда понял что пакеты обрабатываются на бридже:

Chain PREROUTING (policy ACCEPT 1346 packets, 64320 bytes)
   pkts      bytes target     prot opt in     out     source               destination         
   1346    64320            all  --  *      *       0.0.0.0/0            0.0.0.0/0           
      4      404            all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
      0        0            all  --  eth1.2001 *       0.0.0.0/0            0.0.0.0/0

Стало ясно куда копать

 

Как всегда пока писал пост - сформулировал проблему четко сам для себя, что помогло ее решить .

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Ilya Evseev   

Ilya Evseev
Опубликовано · Жалоба

Как всегда пока писал пост - сформулировал проблему четко сам для себя, что помогло ее решить .

На будущее - если слишком узкое правило не перехватывает пакеты,

пишите широкое с "-j LOG" и смотрите в /var/log/messages характеристики пакетов.

Они иногда бывают неочевидными :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы