interface-interface forward zmc-vel
Helo! Lehet ilyet csinalni? -A FORWARD -i ethx -o ethy -j ACCEPT jellegu rule kellene. -- Gabor HALASZ <halasz.g@freemail.hu>
On 2009-04-20 11:56, Gabor HALASZ wrote:
Lehet ilyet csinalni? -A FORWARD -i ethx -o ethy -j ACCEPT jellegu rule kellene.
Olyan szabályt viszel fel, ami jólesik. ZMC-ben is össze tudod magadnak kattintgatni.
Nemeth Gyorgy wrote:
On 2009-04-20 11:56, Gabor HALASZ wrote:
Lehet ilyet csinalni? -A FORWARD -i ethx -o ethy -j ACCEPT jellegu rule kellene.
Olyan szabályt viszel fel, ami jólesik. ZMC-ben is össze tudod magadnak kattintgatni.
Ha ilyen egyszeru lenne, nem kerdeznem. A ZMC-ben (3.3) oda nem tudom tenni, ahova kellene, ahova meg teszi, oda nem er el a forgalom mar, mert (alighanem) a kzorp lenyeli. -- Gabor HALASZ <halasz.g@freemail.hu>
On 2009-04-20 15:51, Gabor HALASZ wrote:
Lehet ilyet csinalni? -A FORWARD -i ethx -o ethy -j ACCEPT jellegu rule kellene. Olyan szabályt viszel fel, ami jólesik. ZMC-ben is össze tudod magadnak kattintgatni.
Ha ilyen egyszeru lenne, nem kerdeznem. A ZMC-ben (3.3) oda nem tudom tenni, ahova kellene, ahova meg teszi, oda nem er el a forgalom mar, mert (alighanem) a kzorp lenyeli.
Akkor passz, én 3.1-et használok.
On Mon, 2009-04-20 at 16:16 +0200, Nemeth Gyorgy wrote:
On 2009-04-20 15:51, Gabor HALASZ wrote:
Lehet ilyet csinalni? -A FORWARD -i ethx -o ethy -j ACCEPT jellegu rule kellene. Olyan szabályt viszel fel, ami jólesik. ZMC-ben is össze tudod magadnak kattintgatni.
Ha ilyen egyszeru lenne, nem kerdeznem. A ZMC-ben (3.3) oda nem tudom tenni, ahova kellene, ahova meg teszi, oda nem er el a forgalom mar, mert (alighanem) a kzorp lenyeli.
Akkor passz, én 3.1-et használok.
ha van matchelo kzorp szabalyod, akkor az lenyeli az ilyen forgalmat. A KZorp-nak viszont meg tudod magyarazni, hogy milyen forgalommal ne foglalkozzon akkor sem, ha a konfigja szerint foglalkoznia kellene vele. Ezt MARK-kal tudod elerni, a PREROUTING-ban MARK-old meg azokat a csomagokat, amiket kerulo uton akarsz megjaratni, majd allitsd be a /proc/sys/net/kzorp/ignore_mark valtozot "value mask" formatumban. a mask hatarozza meg, hogy a mark melyik bitjeinel akarod latni a "value" erteket. ha a markokat nem hasznalod masra, akkor a mask lehet nyugodtan 0xFFFFFFFF -- Bazsi
Balazs Scheidler wrote:
ha van matchelo kzorp szabalyod, akkor az lenyeli az ilyen forgalmat. A KZorp-nak viszont meg tudod magyarazni, hogy milyen forgalommal ne foglalkozzon akkor sem, ha a konfigja szerint foglalkoznia kellene vele.
Termeszetesen van, hiszen a tobbi interface fele proxyk vannak.
Ezt MARK-kal tudod elerni, a PREROUTING-ban MARK-old meg azokat a csomagokat, amiket kerulo uton akarsz megjaratni, majd allitsd be a
/proc/sys/net/kzorp/ignore_mark valtozot
"value mask" formatumban.
a mask hatarozza meg, hogy a mark melyik bitjeinel akarod latni a "value" erteket. ha a markokat nem hasznalod masra, akkor a mask lehet nyugodtan 0xFFFFFFFF
Kosz. -- Gabor HALASZ <halasz.g@freemail.hu>
Balazs Scheidler wrote:
Ezt MARK-kal tudod elerni, a PREROUTING-ban MARK-old meg azokat a csomagokat, amiket kerulo uton akarsz megjaratni, majd allitsd be a
/proc/sys/net/kzorp/ignore_mark valtozot
"value mask" formatumban.
a mask hatarozza meg, hogy a mark melyik bitjeinel akarod latni a "value" erteket. ha a markokat nem hasznalod masra, akkor a mask lehet nyugodtan 0xFFFFFFFF
Megprobaltam, de nem igazan akarta. Mangle table-ban prerouting chainban 0xFFFFFFFF, az ignore_mark-ba echo-val 1 0xFFFFFFFF-et (probakeppen 0 0xFFFFFFFF-et is). A mark-nal meg lasztottak a csomagok, de a forward chainben mar nem. -- Gabor HALASZ <halasz.g@freemail.hu>
On Fri, 2009-04-24 at 10:41 +0200, Gabor HALASZ wrote:
Balazs Scheidler wrote:
Ezt MARK-kal tudod elerni, a PREROUTING-ban MARK-old meg azokat a csomagokat, amiket kerulo uton akarsz megjaratni, majd allitsd be a
/proc/sys/net/kzorp/ignore_mark valtozot
"value mask" formatumban.
a mask hatarozza meg, hogy a mark melyik bitjeinel akarod latni a "value" erteket. ha a markokat nem hasznalod masra, akkor a mask lehet nyugodtan 0xFFFFFFFF
Megprobaltam, de nem igazan akarta. Mangle table-ban prerouting chainban 0xFFFFFFFF, az ignore_mark-ba echo-val 1 0xFFFFFFFF-et (probakeppen 0 0xFFFFFFFF-et is). A mark-nal meg lasztottak a csomagok, de a forward chainben mar nem.
preroutingban 1-el markolj, es ugy jo az ingore_mark erteked. -- Bazsi
Balazs Scheidler wrote:
Megprobaltam, de nem igazan akarta. Mangle table-ban prerouting chainban 0xFFFFFFFF, az ignore_mark-ba echo-val 1 0xFFFFFFFF-et (probakeppen 0 0xFFFFFFFF-et is). A mark-nal meg lasztottak a csomagok, de a forward chainben mar nem.
preroutingban 1-el markolj, es ugy jo az ingore_mark erteked.
Ezt nem ertem (nem az 1-re markot). Ha egyszer a maszk 0xffffffff, akkor nem mindegy, hogy milyen mark van a csomagon? -- Gabor HALASZ <halasz.g@freemail.hu>
On Fri, 2009-04-24 at 16:22 +0200, Gabor HALASZ wrote:
Balazs Scheidler wrote:
Megprobaltam, de nem igazan akarta. Mangle table-ban prerouting chainban 0xFFFFFFFF, az ignore_mark-ba echo-val 1 0xFFFFFFFF-et (probakeppen 0 0xFFFFFFFF-et is). A mark-nal meg lasztottak a csomagok, de a forward chainben mar nem.
preroutingban 1-el markolj, es ugy jo az ingore_mark erteked.
Ezt nem ertem (nem az 1-re markot). Ha egyszer a maszk 0xffffffff, akkor nem mindegy, hogy milyen mark van a csomagon?
"(csomag_markja & maszk) == value" feltetelnek kell teljesulnie. -- Bazsi
participants (3)
-
Balazs Scheidler
-
Gabor HALASZ
-
Nemeth Gyorgy