gaaronk Posted July 8, 2019 Share Posted July 8, 2019 Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ? Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ. Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт. Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:50 MSK 2019 В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех. Как ПРАВИЛЬНО это делать? Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted July 8, 2019 Author Share Posted July 8, 2019 Забыл добавить - прошивка 2.15.C.5.0-0 Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted July 17, 2019 Share Posted July 17, 2019 То, что оно так часто дергается странно, но наверное включен policy routing для хостов? Тогда объяснимо. Стоит проверить на 3.1, были предприняты усилия по уменьшению числа перезаписей. Ну и можно ключ -w использовать в iptables. Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted August 5, 2019 Author Share Posted August 5, 2019 (edited) Прошу прощения за задержку с ответом. Нет, полиси роутинга нет, но есть IPSec site-to-site. Такое впечатление что дергается в момент перестроения IKE SA, а не IPSec SA. Насчёт -w спасибо, попробую. Edited August 5, 2019 by gaaronk Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted June 14, 2020 Author Share Posted June 14, 2020 А скажите, работа с iptables планируется к изменению? Версия 3.4.6 Вот простой скрипт #!/bin/sh [ "$table" != "mangle" ] && exit 0 echo `date` >> /tmp/mangle.tstmp exit 0 Вот вывод скрипта. Нормально и корректно добавить свои правила в таблицу mangle через хук реально невозможно. Или может есть вариант сказать прошивке что я хочу добавлять и она сама будет это вписывать при каждом передёргивании? Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted June 15, 2020 Share Posted June 15, 2020 Покажите self-test, даже интересно, что там может вызывать такое частое переключение. В 3.4 по идее дергание должно было даже сократится. Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted June 24, 2022 Author Share Posted June 24, 2022 Идут года, а хуками netfilter пользоваться все так же невозможно... Вот с такой частотой продолжает вызываться скрипт для таблицы mangle Fri Jun 24 06:41:47 MSK 2022 Fri Jun 24 06:46:25 MSK 2022 Fri Jun 24 06:46:59 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:54:14 MSK 2022 Fri Jun 24 06:55:47 MSK 2022 Fri Jun 24 06:59:15 MSK 2022 Fri Jun 24 07:00:47 MSK 2022 Fri Jun 24 07:01:22 MSK 2022 Fri Jun 24 07:02:47 MSK 2022 Fri Jun 24 07:04:17 MSK 2022 Версия 3.7.4 1 Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted June 25, 2022 Author Share Posted June 25, 2022 А это я сам дурак. Надо проверять не только $table но и $type А то IPv6 firewall часто дергает mangle Quote Link to comment Share on other sites More sharing options...
Question
gaaronk
Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ?
Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ.
Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт.
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:50 MSK 2019
В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех.
Как ПРАВИЛЬНО это делать?
Link to comment
Share on other sites
7 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.