Marcando Pacotes com DNAT [RESOLVIDO]

lejoso escreveu:

Cola o seu ip rule list e as rotas das tabelas adicionais por favor.

lejoso escreveu:

Você terá que trabalhar com a adição de tabelas de roteamento.
No arquivo /etc/iproute2/rt_tables, você já tem alguma tabela adicionada sem ser as padrões? Caso não, esse seria o primeiro passo. Como você tem 4 links, 3 tabelas adicionais teriam de ser adicionadas.
Depois você tem que criar regras de ip rule list "amarrando" as marcações que serão feitas no iptables (alvo MARK)com as tabelas criadas no arquivo rt_tables.
Além disso, nessas tabelas adicionais terão que ser adicionadas rotas default, uma para cada link.
É um pouco trabalhoso isso, mas não é difícil.
Eu tenho um material que estou escrevendo, mas ainda não concluí por falta de tempo. Mas essa parte de iproute acho que pode lhe ajudar mesmo aindo não estando completo. Me fala seu e-mail que lhe mando.

lejoso escreveu:

iptables -t mangle -I PREROUTING -p tcp --dport 8080 -i eth_oi -j CONNMARK --set-mark 0x2
iptables -t mangle -I PREROUTING -m connmark --mark 0x2 ! -i eth_oi -j MARK --set-mark 0x2

iptables -t mangle -I PREROUTING -p tcp --dport 8080 -i eth_oi2 -j CONNMARK --set-mark 0x4
iptables -t mangle -I PREROUTING -m connmark --mark 0x4 ! -i eth_oi2 -j MARK --set-mark 0x4

iptables -t mangle -I PREROUTING -p tcp --dport 8080 -i eth_oi1 -j CONNMARK --set-mark 0x3
iptables -t mangle -I PREROUTING -m connmark --mark 0x3 ! -i eth_oi1 -j MARK --set-mark 0x3

iptables -t mangle -I PREROUTING -p tcp --dport 8080 -i eth_embratel -j CONNMARK --set-mark 0x1
iptables -t mangle -I PREROUTING -m connmark --mark 0x1 ! -i eth_embratel -j MARK --set-mark 0x1


Obs:

- Corrigir apenas o nome das interfaces com as interfaces corretas do seu servidor (-i ethx);
- O link default não precisa de marcações, pois o retorno dos pacotes já sairia por eles. Como você tem 4 link, apenas 3 conjuntos (6 regras no total) seriam necessários. Mas isso é opcional, embora não acho que se colocar as marcações também pro link default dará problemas;
- Essas regras acima serviriam apenas para o DNAT da porta 8080. Dessa forma, o conjunto de 6 regras teria que ser criado para cada regra de DNAT, caso você tenha mais regras. Você pode tentar tirar a condição "-p tcp --dport 8080", ai as regras ficariam genéricas e com isso já valeria para todos os Dnat, porém tem que ficar atento se não acarretará problemas com outras conexões. A princípio acho que não dá problemas, mas é bom ficar atento. Eu particularmente evito regras bem genéricas, pois são mais sucetíveis a erros, mas é questão de colocar e testar.

Att,

Lejoso

lejoso escreveu:

A segunda regra faz a marcação do pacote para ser lido pelas regras do ip rule list (fwmark)

CONNMARK -> Marca a Conexão (o valor é adicionado no conntrack -> conntrack -L)
MARK -> Marca os pacotes individualmente. Quando os pacotes saem do firewall, essa marca é "perdida".

Aquelas marcações das regras do FWMARK são as que são efetuadas pelo alvo MARK no iptables.

Resumindo

Primeira regra: Marca a conexão (todos pacotes relacionados a conexão) assim que entrar no firewall através da interface especificada.
Segunda regra: Marca os pacotes individualmente com o alvo MARK para serem validados nas regras do fwmark do ip rule list. Perceba que a condição para essa regra ser verdadeira é que a conexão deverá estar com determinada marca (-m connmark --mark 0x1)