Probléme avec marquage des paquets avec iptables

Probléme avec marquage des paquets avec iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 30-01-2010 à 20:08:10    

Salut a tous
 
Je marque les paquets avec iptables pour les mettre dans des files et gérer la QOS avec une passerelle Debian.
 
J'ai donc tapé sur un poste client sous debian iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark 0x2
 
j'analyse avec tcpdump sur la passerelle mais ça ne marche pas, mais paquets sont pas marqué.
 
20:02:24.390319 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 172.25.3.242 > 192.168.1.1: ICMP echo request, id 35353, seq 9, length 64
 
j'ai surement loupé une manip.
 
Merci de votre aide.

Reply

Marsh Posté le 30-01-2010 à 20:08:10   

Reply

Marsh Posté le 30-01-2010 à 20:38:00    

Salut,
 
Ce comportement est normal, la cible -j MARK procède au marquage de la trame au sein du sous-système netfilter. J'entend par la que cette marque n'est pas appliqué au paquet en lui-même mais il est appliqué lors de son transit dans le noyau de la machine locale. Quand le paquet quitte ta machine vers la passerelle, il perd la notion de marquage.
Ce que tu cherche à faire c'est du marquage sur un paquet au niveau de la couche réseau (du vrai marquage au sens réseau) pour ce faire c'est la cible -j TOS (type of service) qu'il faut utiliser.
 
iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10  
 
http://www.faqs.org/docs/iptables/targets.html
 
Amuse toi bien ;)
 
Edit: DUT R&T c'est le top ;)


Message édité par Xtr3m01 le 30-01-2010 à 20:38:55
Reply

Marsh Posté le 30-01-2010 à 21:50:36    

ok merci, mais avec mon script de qos ça marchera tu pense? le voilà :

Code :
  1. tc qdisc add dev $DEV root handle 1: htb default 15
  2. tc class add dev $DEV parent 1: classid 1:1 htb rate ${UPLINK}kbit ceil ${UPLINK}kbit
  3. tc class add dev $DEV parent 1:1 classid 1:10 htb rate 120kbit ceil 220kbit prio 0
  4. tc class add dev $DEV parent 1:1 classid 1:11 htb rate 80kbit ceil 150kbit prio 1
  5. tc class add dev $DEV parent 1:1 classid 1:12 htb rate 50kbit ceil 180kbit prio 2
  6. tc class add dev $DEV parent 1:1 classid 1:13 htb rate 50kbit ceil 180kbit prio 3
  7. tc class add dev $DEV parent 1:1 classid 1:14 htb rate 50kbit ceil 180kbit prio 4
  8. tc class add dev $DEV parent 1:1 classid 1:15 htb rate 10kbit ceil 120kbit prio 5
  9. tc qdisc add dev $DEV parent 1:12 handle 120: sfq perturb 10
  10. tc qdisc add dev $DEV parent 1:13 handle 130: sfq perturb 10
  11. tc qdisc add dev $DEV parent 1:14 handle 140: sfq perturb 10
  12. tc qdisc add dev $DEV parent 1:15 handle 150: sfq perturb 10
  14. tc filter add dev $DEV parent 1:0 protocol ip prio 1 handle 1 fw classid 1:10
  15. tc filter add dev $DEV parent 1:0 protocol ip prio 2 handle 2 fw classid 1:11
  16. tc filter add dev $DEV parent 1:0 protocol ip prio 3 handle 3 fw classid 1:12
  17. tc filter add dev $DEV parent 1:0 protocol ip prio 4 handle 4 fw classid 1:13
  18. tc filter add dev $DEV parent 1:0 protocol ip prio 5 handle 5 fw classid 1:14
  19. tc filter add dev $DEV parent 1:0 protocol ip prio 6 handle 6 fw classid 1:15


 
Merci encore.
 
PS: Ouais c'est calé le DUT R&T  :D

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed