Nefunguje iptables PREROUTING pro eth1

Neděle Srpen 27 10:44:52 CEST 2017

On Sun, 27 Aug 2017, d.petr wrote:

> Že se pravidla aplikují jen na nová spojení, jsem věděl. Ale myslel 
> jsem, že to platí všude, kromě mangle. Takže zase nový poznatek.

Právě že to platí jen u nat.

> Asi budu tedy muset vytvořit nové jádro, čemuž jsem se snažil vyhnout. 
> Jenže tím sice možná ty pakety uvidím v mangle, ale potřebuji je 
> přesměrovat. A to v mangle nejde, takže mi to vlastně moc nepomůže.

Na mangle jsem se ptal, právě kvůli porovnání toho, jak se to chová.
Je-li ta původní záhada vysvětlena tím, že se jednalo o existující 
spojení, jehož pakety se objevovaly ve filter, ale nat obcházely, tak už 
není důvod s mangle něco zkoušet.

Na druhou stranu moc nechápu, kam byste chtěl přesměrovávat pakety pro již 
běžící (a zřejmě již pře-NAT-ované) spojení.

> Nevíte náhodou, jestli se dá nějak "zapomenout spojení" pro účely 
> iptables?

Existuje balík "conntrack-tools" a v něm je program "conntrack", který to 
umí, je-li použit s opšnou -D. Budete potřebovat ještě nějaké knihovny na 
netlink.

-- 
Pavel Kankovsky aka Peak                      "Que sçay-je?"