Mark di pacchetti che partono dalla macchina stessa

[cristal]

Salve,
ciò che devo fare è applicare delle regole di mark a pacchetti che partono dalla mia macchina.
Infatti, ho testato che le regole di mark possono essere applicate solo su pacchetti che ARRIVANO alla mia macchina attraverso la scheda di rete (cioè da un certo indirizzo IP) e non su pacchetti che partono già direttamente dalla mia macchina.

ricordo la regola di mark:
iptables -t mangle -A PREROUTING -p icmp --icmp-type ping -j MARK --set-mark 1

Avete idea di come si possa fare un mark su pacchetti in partenza direttamente dalla mia macchina?

Grazie.

[PinguinoGoloso]

Uuuh... Non puoi marcarli sulla macchina su cui arrivano ?

[cristal]

Putroppo no, il mark mi serve sulla macchina di partenza perche sulla macchina di partenza ho 2 interfacce ed in base al mark che ho imposto sul pacchetto, lo mando su un'interfaccia anzichè un'altra.

es.
mark 1 -> spedisco pkt su eth0
mark 2 -> spedisco pkt su eth1

[cacao74]

Direi che la pagina di manuale di iptables ci viene in soccorso:

codice:

              mangle:
                  This table is used for specialized packet alteration.  Until
                  kernel 2.4.17 it had two built-in  chains:  PREROUTING  (for
                  altering  incoming  packets  before routing) and OUTPUT (for
                  altering locally-generated packets before  routing).   Since
                  kernel  2.4.18,  three  other  built-in chains are also sup-
                  ported: INPUT (for packets coming into the box itself), FOR-
                  WARD  (for  altering  packets being routed through the box),
                  and POSTROUTING (for altering packets as they are  about  to
                  go out).

ciao

[cristal]

io ho provato anche con:

iptables -t mangle -A OUTPUT -p icmp --icmp-type ping -j MARK --set-mark 1

ma nulla, non tiene conto del mark.

la prova che ho fatto è questa. ho messo 2 schede di rete al mio pc, destinata ognuna alla propra scheda di rete corrispondente di un altro pc.
Ho impostato che i pacchetti icmp passassero per la eth0 se marcati 1 e per eth1 (che ho impostato come scheda di default) se non marcati.
Ebbene, dopo averti markati 1 passavano sempre per la scheda di default, cioè eth1.

[cacao74]

ho letto con piu' attenzione il man...
...e sfortunatamente mi risulta, come da tue prove, che sia possibile segnare solo i pacchetti in ingresso.

ciao

[cristal]

Originariamente inviato da cacao74
ho letto con piu' attenzione il man...
...e sfortunatamente mi risulta, come da tue prove, che sia possibile segnare solo i pacchetti in ingresso.

ciao

eh si purtroppo l'ho testato in pratica....ti viene in mente qualche soluzione alternativa?
mi è stato proposto di creare un tunnel con openvpn sulla stessa macchina in modo che mandi i pacchetti all'ingresso del tunnel e le regole si applichino sui pacchetti in uscita al tunnel in modo che fossero visti in "ingresso" al pc.

ma vorrei fare un qualcosa di piu "semplice". Viene in mente niente?

[cristal]

mi stava venendo in mente un'idea....

se io nel mio pc metto due schede di rete:
eth0 10.11.9.1
eth1 10.11.8.1

e faccio in modo che i pacchetti partano da 10.11.8.1, applicando le regole di mark sui pacchetti provenienti proprio da 10.11.8.1 secondo voi restano applicate facendo uscire poi i pacchetti da 10.11.9.1?

non so se mi sono spiegato...

grazie

[cristal]

Originariamente inviato da cristal
mi stava venendo in mente un'idea....

se io nel mio pc metto due schede di rete:
eth0 10.11.9.1
eth1 10.11.8.1

e faccio in modo che i pacchetti partano da 10.11.8.1, applicando le regole di mark sui pacchetti provenienti proprio da 10.11.8.1 secondo voi restano applicate facendo uscire poi i pacchetti da 10.11.9.1?

non so se mi sono spiegato...

grazie

non si può fare che dite?
vorrei capire se a livello teorico sto sbagliando prima di fare una prova pratica...

grazie.

[PinguinoGoloso]

Se ho capito bene, in questo modo dovresti attivare il forward di tutti i pacchetti da eth1 a eth0. Dovrebbe funzionare con

codice:

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT