Почему подставляет неправильный source ip при использовании policy-routing?

Question

jzyken @jzyken

Почему подставляет неправильный source ip при использовании policy-routing?

Пытаюсь пустить трафик конкретного пользователя мимо VPN таким способом:

Помечаю

iptables -t mangle -A OUTPUT -m owner --uid-owner 1001 -j MARK --set-xmark 0xaaa

Создаю правило
ip rule add fwmark 0xaaa table torrent

Наполняю таблицу маршрутизации

ip route add default via 192.168.0.1 dev enp2s0 src 192.168.0.125 table torrent
ip route add 192.168.0.0/24 dev enp2s0 table torrent

И всё вроде должно работать, трафик не уходит в tun0, но пакеты почему-то идут с src ip от VPN.
Где я ошибся, что не учёл, подскажите, пожалуйста?

Вопрос задан более трёх лет назад
354 просмотра

4 комментария

Подписаться 2 Простой 4 комментария

Wexter @Wexter

вывод iptables-save покажите

Написано более трёх лет назад

jzyken @jzyken Автор вопроса

Wexter, голенький:

# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017
*nat
:PREROUTING ACCEPT [36600:10738573]
:INPUT ACCEPT [508:88888]
:OUTPUT ACCEPT [33236:7438108]
:POSTROUTING ACCEPT [33236:7438108]
COMMIT
# Completed on Fri Oct 20 03:34:12 2017
# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017
*mangle
:PREROUTING ACCEPT [1884558:1495540255]
:INPUT ACCEPT [1848511:1485003230]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1744332:1246508180]
:POSTROUTING ACCEPT [1745048:1246623936]
-A OUTPUT -m owner --uid-owner 1001 -j MARK --set-xmark 0xaaa/0xffffffff
COMMIT
# Completed on Fri Oct 20 03:34:12 2017
# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017
*filter
:INPUT ACCEPT [4953268:5694985928]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3324182:1484725175]
COMMIT
# Completed on Fri Oct 20 03:34:12 2017

Написано более трёх лет назад

Wexter @Wexter
jzyken, я так понимаю у вас src-nat не настроен, потому пакеты и уходят с адресом клиента VPN.
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
Написано более трёх лет назад
jzyken @jzyken Автор вопроса
Wexter, но это получается какой-то костыль:
# conntrack -L udp 17 29 src=10.0.0.125 dst=8.8.8.8 sport=43424 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=43424 mark=0 use=1 udp 17 27 src=10.0.0.125 dst=8.8.8.8 sport=44706 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=44706 mark=0 use=1

Да и не работает оно, src ip в итоге то правильный, и ответы приходят (судя по wireshark-у), только теряются где-то в системе, программы их не видят.
Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+2 ещё

Простой
Откуда идет 302 редирект?
- 1 подписчик
- 3 часа назад
- 38 просмотров
0

ответов
Компьютерные сети

+4 ещё

Средний
Как настроить маршрутизацию трафика с использованием двух сетевых карт для выхода на перечень адресов (сайтов) ТОЛЬКО через одну сетевую карту?
- 1 подписчик
- вчера
- 399 просмотров
2

ответа
Linux

+2 ещё

Простой
Почему не удается подключиться к серверу с самоподписанным доверенным сертификатом?
- 2 подписчика
- вчера
- 160 просмотров
0

ответов
Компьютерные сети

+2 ещё

Простой
Доступ из VPN наружу?
- 1 подписчик
- вчера
- 123 просмотра
1

ответ
Компьютерные сети

+1 ещё

Простой
В чем причина ошибки?
- 1 подписчик
- вчера
- 51 просмотр
0

ответов
Веб-разработка

+1 ещё

Простой
Какой отечественный linux выбрать для веб-разработки?
- 2 подписчика
- вчера
- 1573 просмотра
7

ответов
Linux

+1 ещё

Простой
Почему не запускается графический интерфейс Kali Linux?
- 1 подписчик
- вчера
- 115 просмотров
3

ответа
Компьютерные сети

+1 ещё

Средний
Чем мониторить arp на mikrotik?
- 3 подписчика
- 21 нояб.
- 297 просмотров
2

ответа
Компьютерные сети

+1 ещё

Простой
Почему роутер openwrt не видит клиента со статическим ip?
- 1 подписчик
- 21 нояб.
- 107 просмотров
4

ответа
Linux

+3 ещё

Средний
Как регистры SOC отображаются на память Linux?
- 1 подписчик
- 21 нояб.
- 102 просмотра
1

ответ
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Ведущий инженер Linux

Интер РАО – Управление сервисами • Москва

от 180 000 ₽

Создать сервер VPS через wireguard

24 нояб. 2024, в 00:04

5000 руб./за проект

Добавить интеграцию оплаты Telegram Payments 2.0 в Mini App (React)

23 нояб. 2024, в 23:30

3000 руб./за проект

Нарисовать инфографику в 3-х вариантах

23 нояб. 2024, в 23:03

1 руб./за проект

Wexter, голенький:
# Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017 *nat :PREROUTING ACCEPT [36600:10738573] :INPUT ACCEPT [508:88888] :OUTPUT ACCEPT [33236:7438108] :POSTROUTING ACCEPT [33236:7438108] COMMIT # Completed on Fri Oct 20 03:34:12 2017 # Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017 *mangle :PREROUTING ACCEPT [1884558:1495540255] :INPUT ACCEPT [1848511:1485003230] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1744332:1246508180] :POSTROUTING ACCEPT [1745048:1246623936] -A OUTPUT -m owner --uid-owner 1001 -j MARK --set-xmark 0xaaa/0xffffffff COMMIT # Completed on Fri Oct 20 03:34:12 2017 # Generated by iptables-save v1.6.0 on Fri Oct 20 03:34:12 2017 *filter :INPUT ACCEPT [4953268:5694985928] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3324182:1484725175] COMMIT # Completed on Fri Oct 20 03:34:12 2017
jzyken, я так понимаю у вас src-nat не настроен, потому пакеты и уходят с адресом клиента VPN.
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
Wexter, но это получается какой-то костыль:
# conntrack -L udp 17 29 src=10.0.0.125 dst=8.8.8.8 sport=43424 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=43424 mark=0 use=1 udp 17 27 src=10.0.0.125 dst=8.8.8.8 sport=44706 dport=53 src=8.8.8.8 dst=192.168.0.125 sport=53 dport=44706 mark=0 use=1

Да и не работает оно, src ip в итоге то правильный, и ответы приходят (судя по wireshark-у), только теряются где-то в системе, программы их не видят.

Почему подставляет неправильный source ip при использовании policy-routing?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт