Mangle

Zdeněk.hb · Příspěvekod **Zdeněk.hb** » 19 years ago

Zdravim,

mám dotaz na názor, jakou tabulku je nejlépe použít při manglování paketů?
Viděl jsem že někdo používá prerouting a někdo zase forward

Stalo se mi, že když jsem mangloval pomocí prerouting tak mi z ničeho nic přestalo fungovat manglování odchozích paketů na jedné IP. Na ostatních to fungovalo obousměrně. Adresy jsou samozřejmě maskované.

Kód: Vybrat vše

add chain=prerouting src-address=192.168.1.2 action=mark-connection new-connection-mark=Horak passthrough=no comment="Horak" disabled=no 
add chain=prerouting src-address=192.168.1.2 action=mark-packet new-packet-mark=Horak_Up passthrough=no comment="" disabled=no 
add chain=prerouting src-address=!192.168.1.2 connection-mark=Horak action=mark-packet new-packet-mark=Horak_Down passthrough=no comment="" disabled=no

Takhle mi to fungovalo do pátku. a z ničeho nic přestal označovat pakety směrem od uživatele.

Opravil jsem to, že jsem connection mark dal do tabulky forward:

Kód: Vybrat vše

add chain=forward src-address=192.168.1.2 action=mark-connection new-connection-mark=Horak passthrough=no comment="Horak" disabled=no 
add chain=prerouting src-address=192.168.1.2 action=mark-packet new-packet-mark=Horak_Up passthrough=no comment="" disabled=no 
add chain=prerouting src-address=!192.168.1.2 connection-mark=Horak action=mark-packet new-packet-mark=Horak_Down passthrough=no comment="" disabled=no

Je nějaké rozumné vysvětlení? Co je tedy pro označování paketů a spojení lepší tabulka prerouting nebo forward?

LaSolitaire · Příspěvekod **LaSolitaire** » 19 years ago

Zkus se v manualu podivat na ten diagram PacketFlow.
Treba ti to pomuze a bude pak jasne ;-)

Kratce: Prerouting by se melo (aspon jak jsem to pochopil ja) pouzivat tam, kde mas dstNAT. Kde manglujes prichozi trafik z venku na nejakou IP (port) pres public IP dovnitr.

Zdeněk.hb · Příspěvekod **Zdeněk.hb** » 19 years ago

No jo, na všech manglovaných adresách je dst-nat, a přesto mi to u jedné adresy přestalo manglovat když jsem tam měl prerouting.

LaSolitaire · Příspěvekod **LaSolitaire** » 19 years ago

Tak to promin, dal ti neporadim....

Sam cekam, az Jali udela skolenicko, kde nam vysvetli polopate a detailne manglovani a Queue Tree ;-)

skrebon · Příspěvekod **skrebon** » 19 years ago

jj manual treba pozriet. V rychlej skratke forward v MT2,9x vidi i pakety za maskaradou, netreba tvorit mark na connection. Pri prerouting a postrouting sa to sprava priblizne ako forward v 2,8x (treba markovat connection z odchodzieho trafficu a nasledne prichodzi marknut podla odchodzieho-neuzitocne myslim)... Input a Output v 2,8x sa da markovat v 2,9 i v prerouting a postrouting...

LaSolitaire · Příspěvekod **LaSolitaire** » 19 years ago

Hups....

Myslim, ze bys tu zkratku mel trosku rozvest ;-)

Dušan Vlček · Příspěvekod **Dušan Vlček** » 19 years ago

Studujte, studujte studujte http://www.mikrotik.com/docs/ros/2.9/ip/flow

Kdyz to pochopite sami, bude vam to stokrat prospesnejsi, nez kdyz vam to bude nekdo vysvetlovat. Sednete si nad to schema a zkuste podle neho nechat "projit paket" a divejte se, co se s nim v jednotlivych castech routeru deje.