gaaronk Posted July 8, 2019 Posted July 8, 2019 Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ? Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ. Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт. Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:50 MSK 2019 В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех. Как ПРАВИЛЬНО это делать? Quote
0 gaaronk Posted July 8, 2019 Author Posted July 8, 2019 Забыл добавить - прошивка 2.15.C.5.0-0 Quote
0 Le ecureuil Posted July 17, 2019 Posted July 17, 2019 То, что оно так часто дергается странно, но наверное включен policy routing для хостов? Тогда объяснимо. Стоит проверить на 3.1, были предприняты усилия по уменьшению числа перезаписей. Ну и можно ключ -w использовать в iptables. Quote
0 gaaronk Posted August 5, 2019 Author Posted August 5, 2019 (edited) Прошу прощения за задержку с ответом. Нет, полиси роутинга нет, но есть IPSec site-to-site. Такое впечатление что дергается в момент перестроения IKE SA, а не IPSec SA. Насчёт -w спасибо, попробую. Edited August 5, 2019 by gaaronk Quote
0 gaaronk Posted June 14, 2020 Author Posted June 14, 2020 А скажите, работа с iptables планируется к изменению? Версия 3.4.6 Вот простой скрипт #!/bin/sh [ "$table" != "mangle" ] && exit 0 echo `date` >> /tmp/mangle.tstmp exit 0 Вот вывод скрипта. Нормально и корректно добавить свои правила в таблицу mangle через хук реально невозможно. Или может есть вариант сказать прошивке что я хочу добавлять и она сама будет это вписывать при каждом передёргивании? Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Quote
0 Le ecureuil Posted June 15, 2020 Posted June 15, 2020 Покажите self-test, даже интересно, что там может вызывать такое частое переключение. В 3.4 по идее дергание должно было даже сократится. Quote
0 gaaronk Posted June 24, 2022 Author Posted June 24, 2022 Идут года, а хуками netfilter пользоваться все так же невозможно... Вот с такой частотой продолжает вызываться скрипт для таблицы mangle Fri Jun 24 06:41:47 MSK 2022 Fri Jun 24 06:46:25 MSK 2022 Fri Jun 24 06:46:59 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:54:14 MSK 2022 Fri Jun 24 06:55:47 MSK 2022 Fri Jun 24 06:59:15 MSK 2022 Fri Jun 24 07:00:47 MSK 2022 Fri Jun 24 07:01:22 MSK 2022 Fri Jun 24 07:02:47 MSK 2022 Fri Jun 24 07:04:17 MSK 2022 Версия 3.7.4 1 Quote
0 gaaronk Posted June 25, 2022 Author Posted June 25, 2022 А это я сам дурак. Надо проверять не только $table но и $type А то IPv6 firewall часто дергает mangle Quote
Question
gaaronk
Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ?
Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ.
Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт.
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:50 MSK 2019
В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех.
Как ПРАВИЛЬНО это делать?
7 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.