J'ai une machine sous Linux avec dessus un proxy squid.
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443
soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en
traversant mon linux) mais j'arrive pas quand le traffic est emis
directement de la machine ... quelqu'un aurait une commande iptables pour
cela ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Kevin Denis
On 2005-03-09, TCJ wrote:
J'ai une machine sous Linux avec dessus un proxy squid. J'aimerais que le traffic sortant de cette machine sur les port 80 et 443 soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en traversant mon linux) mais j'arrive pas quand le traffic est emis directement de la machine ... quelqu'un aurait une commande iptables pour cela ?
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se reglait dans le temps avec une compilation de noyau avec la bonne option, mais qui aujourd'hui est automatique. -- Kevin
On 2005-03-09, TCJ <TCJ@laposte.net> wrote:
J'ai une machine sous Linux avec dessus un proxy squid.
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443
soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en
traversant mon linux) mais j'arrive pas quand le traffic est emis
directement de la machine ... quelqu'un aurait une commande iptables pour
cela ?
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se
reglait dans le temps avec une compilation de noyau avec la bonne option,
mais qui aujourd'hui est automatique.
--
Kevin
J'ai une machine sous Linux avec dessus un proxy squid. J'aimerais que le traffic sortant de cette machine sur les port 80 et 443 soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en traversant mon linux) mais j'arrive pas quand le traffic est emis directement de la machine ... quelqu'un aurait une commande iptables pour cela ?
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se reglait dans le temps avec une compilation de noyau avec la bonne option, mais qui aujourd'hui est automatique. -- Kevin
Pascal
Salut,
On 2005-03-09, TCJ wrote:
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443 soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en traversant mon linux) mais j'arrive pas quand le traffic est emis directement de la machine
La table mangle a tout ce qu'il faut, non?
La chaîne OUTPUT me semble l'endroit le plus approprié si j'ai bien tout compris.
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se reglait dans le temps avec une compilation de noyau avec la bonne option, mais qui aujourd'hui est automatique.
Les 5 chaînes ne sont présentes dans la table mangle que depuis la version 2.4.18 du noyau (série stable). Mais la chaîne OUTPUT (et PREROUTING) était bien présente dans la table mangle depuis le début.
Tu fais peut-être allusion à la fonction DNAT dans la chaîne OUTPUT qui ne marchait qu'à moitié (uniquement pour les destinations locales) jusqu'à la version 2.4.18, faute de fonction d'inversion dans la chaîne INPUT pour les paquets retour. Cela a été corrigé dans la version 2.4.19 et rendu facultatif avec l'option CONFIG_IP_NF_NAT_LOCAL. Ceci dit, j'ai un noyau 2.4.18 avec cette fonction qui marche (merci le p-o-m). :)
-- Pascal Vous pouvez me tutoyer. Piège à spam :
Salut,
On 2005-03-09, TCJ <TCJ@laposte.net> wrote:
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443
soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en
traversant mon linux) mais j'arrive pas quand le traffic est emis
directement de la machine
La table mangle a tout ce qu'il faut, non?
La chaîne OUTPUT me semble l'endroit le plus approprié si j'ai bien tout
compris.
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se
reglait dans le temps avec une compilation de noyau avec la bonne option,
mais qui aujourd'hui est automatique.
Les 5 chaînes ne sont présentes dans la table mangle que depuis la
version 2.4.18 du noyau (série stable). Mais la chaîne OUTPUT (et
PREROUTING) était bien présente dans la table mangle depuis le début.
Tu fais peut-être allusion à la fonction DNAT dans la chaîne OUTPUT qui
ne marchait qu'à moitié (uniquement pour les destinations locales)
jusqu'à la version 2.4.18, faute de fonction d'inversion dans la chaîne
INPUT pour les paquets retour. Cela a été corrigé dans la version 2.4.19
et rendu facultatif avec l'option CONFIG_IP_NF_NAT_LOCAL. Ceci dit, j'ai
un noyau 2.4.18 avec cette fonction qui marche (merci le p-o-m). :)
--
Pascal
Vous pouvez me tutoyer.
Piège à spam : boite-a-spam@plouf.fr.eu.org
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443 soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en traversant mon linux) mais j'arrive pas quand le traffic est emis directement de la machine
La table mangle a tout ce qu'il faut, non?
La chaîne OUTPUT me semble l'endroit le plus approprié si j'ai bien tout compris.
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se reglait dans le temps avec une compilation de noyau avec la bonne option, mais qui aujourd'hui est automatique.
Les 5 chaînes ne sont présentes dans la table mangle que depuis la version 2.4.18 du noyau (série stable). Mais la chaîne OUTPUT (et PREROUTING) était bien présente dans la table mangle depuis le début.
Tu fais peut-être allusion à la fonction DNAT dans la chaîne OUTPUT qui ne marchait qu'à moitié (uniquement pour les destinations locales) jusqu'à la version 2.4.18, faute de fonction d'inversion dans la chaîne INPUT pour les paquets retour. Cela a été corrigé dans la version 2.4.19 et rendu facultatif avec l'option CONFIG_IP_NF_NAT_LOCAL. Ceci dit, j'ai un noyau 2.4.18 avec cette fonction qui marche (merci le p-o-m). :)
-- Pascal Vous pouvez me tutoyer. Piège à spam :
Kevin Denis
On 2005-03-09, wrote:
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443 soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en traversant mon linux) mais j'arrive pas quand le traffic est emis directement de la machine
La table mangle a tout ce qu'il faut, non?
La chaîne OUTPUT me semble l'endroit le plus approprié si j'ai bien tout compris.
Il me semblait bien.
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se reglait dans le temps avec une compilation de noyau avec la bonne option, mais qui aujourd'hui est automatique.
Les 5 chaînes ne sont présentes dans la table mangle que depuis la version 2.4.18 du noyau (série stable). Mais la chaîne OUTPUT (et PREROUTING) était bien présente dans la table mangle depuis le début.
Tu fais peut-être allusion à la fonction DNAT dans la chaîne OUTPUT qui ne marchait qu'à moitié (uniquement pour les destinations locales) jusqu'à la version 2.4.18, faute de fonction d'inversion dans la chaîne INPUT pour les paquets retour. Cela a été corrigé dans la version 2.4.19 et rendu facultatif avec l'option CONFIG_IP_NF_NAT_LOCAL. Ceci dit, j'ai un noyau 2.4.18 avec cette fonction qui marche (merci le p-o-m). :)
Oui! c'est ca.
-- Kevin
On 2005-03-09, Pascal@plouf <pascal@plouf.invalid> wrote:
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443
soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en
traversant mon linux) mais j'arrive pas quand le traffic est emis
directement de la machine
La table mangle a tout ce qu'il faut, non?
La chaîne OUTPUT me semble l'endroit le plus approprié si j'ai bien tout
compris.
Il me semblait bien.
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se
reglait dans le temps avec une compilation de noyau avec la bonne option,
mais qui aujourd'hui est automatique.
Les 5 chaînes ne sont présentes dans la table mangle que depuis la
version 2.4.18 du noyau (série stable). Mais la chaîne OUTPUT (et
PREROUTING) était bien présente dans la table mangle depuis le début.
Tu fais peut-être allusion à la fonction DNAT dans la chaîne OUTPUT qui
ne marchait qu'à moitié (uniquement pour les destinations locales)
jusqu'à la version 2.4.18, faute de fonction d'inversion dans la chaîne
INPUT pour les paquets retour. Cela a été corrigé dans la version 2.4.19
et rendu facultatif avec l'option CONFIG_IP_NF_NAT_LOCAL. Ceci dit, j'ai
un noyau 2.4.18 avec cette fonction qui marche (merci le p-o-m). :)
J'aimerais que le traffic sortant de cette machine sur les port 80 et 443 soit marquer par iptables afin de les router avec iproutes2.
J'arrive a marquer quand c'est du transit (du lan vers internet en traversant mon linux) mais j'arrive pas quand le traffic est emis directement de la machine
La table mangle a tout ce qu'il faut, non?
La chaîne OUTPUT me semble l'endroit le plus approprié si j'ai bien tout compris.
Il me semblait bien.
Il me semble qu'il y avait des histoires au sujet de ce OUTPUT, mais qui se reglait dans le temps avec une compilation de noyau avec la bonne option, mais qui aujourd'hui est automatique.
Les 5 chaînes ne sont présentes dans la table mangle que depuis la version 2.4.18 du noyau (série stable). Mais la chaîne OUTPUT (et PREROUTING) était bien présente dans la table mangle depuis le début.
Tu fais peut-être allusion à la fonction DNAT dans la chaîne OUTPUT qui ne marchait qu'à moitié (uniquement pour les destinations locales) jusqu'à la version 2.4.18, faute de fonction d'inversion dans la chaîne INPUT pour les paquets retour. Cela a été corrigé dans la version 2.4.19 et rendu facultatif avec l'option CONFIG_IP_NF_NAT_LOCAL. Ceci dit, j'ai un noyau 2.4.18 avec cette fonction qui marche (merci le p-o-m). :)
