iptables redirect nat

All Activity

Reply to this topic

tartila

Posted December 13, 2012

Добрый день.

Господа, возник интересный вопрос. Правило redirect в iptables работает только в таблице nat, что и понятно... Но я по прежнему хочу каким нибудь хитрым способом клиентам выдавать инфо страничку клиентам (у меня нет NAT), когда они напарываются на запрещенный РСоКом сайт. Сейчас тупо DROP или REJECT. А хотелось бы красоты :)

p.s. Понимаю, что практически не вероятно... Но мало ли.

Share this post

Link to post

Share on other sites

Abram

Posted December 13, 2012

Т.е. сейчас у вас nat нет вообще и вы не хотите его добавлять?

Тогда так:

-t raw -A PREROUTING -матч-закрытых-адресов -j ACCEPT
-t raw -A PREROUTING -j NOTRACK

Тогда у вас в conntrack попадут только нужные адреса. NAT будет, но только там, где надо.

Share this post

Link to post

Share on other sites

kapa

Posted December 13, 2012

маркировать и роутить iproute2?

Share this post

Link to post

Share on other sites

tartila

Posted December 13, 2012

Т.е. сейчас у вас nat нет вообще и вы не хотите его добавлять?

Тогда так:
-t raw -A PREROUTING -матч-закрытых-адресов -j ACCEPT
-t raw -A PREROUTING -j NOTRACK
Тогда у вас в conntrack попадут только нужные адреса. NAT будет, но только там, где надо.

Не хотелось бы вводить conntrack ни в коем случае... :)

маркировать и роутить iproute2?

Примерчик можно?

Share this post

Link to post

Share on other sites

kapa

Posted December 13, 2012

маркировать и роутить iproute2?

Примерчик можно?

мутно уже это всё.

нужно гуглить по

...-t mangle -j MARK --set-mark ...

потом помеченное пихать в табличку и табличку зароучивать.

Share this post

Link to post

Share on other sites

^rage^

Posted December 13, 2012

Не хотелось бы вводить conntrack ни в коем случае... :)

он появляется только для адресов, что попадают в список роскомнадзора. в остальном все будет работать как без conntrack.

Share this post

Link to post

Share on other sites

Abram

Posted December 13, 2012

tartila,

Если просто (=надежно), то conntrack с -j NOTRACK.

PBR-ом мутно как-то получается, да и все равно нужно роутить куда-нибудь на другой тазик с NAT (REDIRECT).

Share this post

Link to post

Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

Followers 0

Go to topic listing Программное обеспечение, биллинг и *unix системы

Sign In

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Join the conversation