Как перенаправить трафик пользователя через gateway интерфейс используя iproute2 или iptables?

Question

[freedom1b2830]

Используется vpn, нужно направить трафик пользователя(по uid) в обход tun0 на wlp2s0

если кратко:
система->tun0->wlp2s0
пользователь->wlp2s0

что имею:
0.0.0.0/1 via 10.211.1.66 dev tun0
10.211.1.66 dev tun0 proto kernel scope link src 10.211.1.65
128.0.0.0/1 via 10.211.1.66 dev tun0

linux 5.17.5

РЕШЕНИЕ:

_UID=1021
_IP_GATEWAY=192.168.0.1

echo 100 vpn >> /etc/iproute2/rt_tables
ip route add default via $IP_GATEWAY table vpn
ip rule add fwmark 2 p 100 lookup vpn

iptables -t mangle -A OUTPUT -m owner --uid-owner $_UID -j MARK --set-mark 2
iptables -t nat -A POSTROUTING -m owner --uid-owner $_UID -o wlp+ -j MASQUERADE

Answer 1

[shurshur]

iptables -m owner -h

Маркируем пакет от пользователя (-j MARK) и затем policy routing (ip rule add fwmark XXX lookup vpn) перекидываем в другую таблицу маршрутизации.

Comments

[freedom1b2830]

с MARK вообще не знаком(

iptables -A OUTPUT -m owner --uid-owner 1021 -o wlp0s21f0u2 -j ACCEPT

[shurshur]

freedom1b2830, OUTPUT в таблице filter сработает уже после маршрутизации и никак на неё не повлияет. Нужно менять в таблице mangle. Я уж не говорю о том, что wlp0s21f0u2 это не интерфейс VPN.

Вот рыба того, что можно сделать:

iptables -t mangle -A OUTPUT -m owner --uid-owner 1021 -j MARK --set-mark 2

echo 100 vpn >> /etc/iproute2/rt_tables
ip route add default dev tun123 table vpn
ip rule add fwmark 2 p 100 lookup vpn

[freedom1b2830]

видимо меня не поняли(
мне нужно направить конкретного пользователя в обход впн
интерфейсы для выхода wlp0s21f0u2 либо wlp2s0

команды выше не помогли (tun123 поменял на wlp2s0 (сейчас активен))
ответ:Нет маршрута до узла

[shurshur]

freedom1b2830, так как wlp2s0 это не pointopoint-интерфейс, то там надо маршрут через шдюз

ip route add default via шлюз table vpn

[freedom1b2830]

curl переходит на использование ipv6 (не работает,нет подключения у меня)
а для ipv4 ЖДЕТ:
Failed to connect to 49.12.234.183 port 80 after 128892 ms: Время ожидания соединения истекло

[root@archlinux ~]# ip route
0.0.0.0/1 via 10.211.1.22 dev tun0
default via 192.168.0.1 dev wlp2s0 proto dhcp metric 600
10.211.1.22 dev tun0 proto kernel scope link src 10.211.1.21
112.69.5.123 via 192.168.0.1 dev wlp2s0
128.0.0.0/1 via 10.211.1.22 dev tun0
192.168.0.0/24 dev wlp2s0 proto kernel scope link src 192.168.0.108 metric 600

[root@archlinux ~]# ip rule
0: from all lookup local
100: from all fwmark 0x2 lookup vpn
32766: from all lookup main
32767: from all lookup default

[root@archlinux ~]# clear;iptables -nL -t mangle
###Chain PREROUTING (policy ACCEPT)
target prot opt source destination
###Chain INPUT (policy ACCEPT)
target prot opt source destination
###Chain FORWARD (policy ACCEPT)
target prot opt source destination
###Chain OUTPUT (policy ACCEPT)
target prot opt source destination
MARK all -- 0.0.0.0/0 0.0.0.0/0 owner UID match 1021 MARK set 0x2
###Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

до output не доходит (у меня в конце логирует и reject)

вот правила:
https://pastebin.com/ZJKB7zYJ

если кратко

создаем правила для трафика в впн (бан список)
разрешаем выход впн в сеть

остальное логируем

[shurshur]

freedom1b2830, я поэкспериментировал и понял, что трафик завернулся в нужный интерфейс, но в нём он уходит с неправильным IP другого интерфейса. Решение - сделать SNAT

iptables -t nat -A POSTROUTING -m owner --uid-owner ... -j SNAT --to IP_локального_интерфейса

По идее, чтобы не завязываться на IP интерфейса, можно так:

iptables -t nat -A POSTROUTING -m owner --uid-owner ... -o wlp+ -j MASQUERADE

[freedom1b2830]

я потерялся.
можно команды списком ?

[shurshur]

freedom1b2830, грубо говоря, к предыдущему добавить вот это что я написал.

[freedom1b2830]

забыл маркировку добавить)

echo 100 vpn >> /etc/iproute2/rt_tables
что это за число ?

благодарю за помощь!

[freedom1b2830]

ПОДВОДЯ ИТОГ:

_UID=1021
_IP_GATEWAY=192.168.0.1

echo 100 vpn >> /etc/iproute2/rt_tables
ip route add default via $IP_GATEWAY table vpn
ip rule add fwmark 2 p 100 lookup vpn

iptables -t mangle -A OUTPUT -m owner --uid-owner $_UID -j MARK --set-mark 2
iptables -t nat -A POSTROUTING -m owner --uid-owner $_UID -o wlp+ -j MASQUERADE

[shurshur]

freedom1b2830, это число - id таблицы маршрутизации. В принципе, в командах можно и числами указывать, но обыно им дают имена.

В ip rule число в p - это preference, приоритет фактически, если его не указывать он будет назначать автоматом.