[iptables] routage d'un port

Chr0nos · Apprentice Joined: 26 Feb 2010 Posts: 205

Salut a tous,
voila j'essaie de faire passer le trafic sortant vers le port 80 (donc ma navigation internet) par mon interface tun0 (un vpn) , et tout le reste par eth0
mais voila: pour le moment rien de ce que je n'ai fait ne marche et je ne comprends pas trop pourquoi:

gregool · Guru Joined: 26 Nov 2007 Posts: 336 Location: Lille

Salut,

j'utilise openvpn et pour router le traffic internet a travers le tunnel vpn j'utilise l'option :

Chr0nos · Apprentice Joined: 26 Feb 2010 Posts: 205

le probleme est la justement, je ne veu pas avoir tout le trafic qui passe par le vpn car celui ci est plutot "lent" et donc facilement saturable

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

C'est pas du DNAT, à priori que tu veux faire, sinon, ça change l'adresse de destination et donc t'iras jamais voir le site que tu souhaites

Bref, pourquoi juste http? y'a aussi https, puis, si tu mets pas les requètes DNS, tu perds également en terme de vie privée!

J'pense que tu devrais faire du MARK en OUTPUT dans la table mangle, puis, avec iproute2, tu te fais une jolie table de routage alternative, que tu remplies mais avec la route par défaut passant par ton tunnel, ensuite tu ajoutes des règles (ip rules add fwmark machin) et le tour est joué, enfin, je pense!

C'est juste le traffic généré localement c'est bien ça? Sinon, faut adapter un peu, (chaine PREROUTING, ajout de route sur l'autre côté de ton vpn ou alors SNAT effectivement (avec l'adresse tun "locale"))
_________________
The End of the Internet!

guilc · Posted: Fri Jul 29, 2011 7:40 pm Post subject:

Effectivement, comme dit truc, il n'y a pas 40 solutions. Se contenter de iptables ne marche pas.

Il faut :
1) marquer les paquets avec iptables (si dport == 80 alors marquer)
2) construire une table de routage plus complexe : si paquet marqué, alors passer par le VPN, sinon, route par défaut. En gros, il faut faire 2 tables de routage, et aiguiller sur l'une ou l'autre en fonction du marquage. Tu peux t'inspirer de là, en customisant les "ip rule" : http://lartc.org/howto/lartc.rpdb.multiple-links.html
_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing

Chr0nos · Apprentice Joined: 26 Feb 2010 Posts: 205

du coup si je veu pouvoir marques paquets je dois faire:

iptables -A FORWARD -i eth0 -o tun0 -p tcp -m tcp --dport 80 -j MARK
iptables -A FORWARD -i eth0 -o tun0 -p tcp -m tcp --sport 80 -j MARK

( a la place de forward je ne devrais pas du coup me metre sur le OUTPUT ?)

toutefois j'ai un serveur apache2 sur ma machine qui utilise le port 80, mais si je ne met pas dport et sport je ne vais pas pouvoir recup la réponse du site non ? enfin quoi que tout se passe dans un seul socket, donc techniquement si je met juste le -dport ca pourais marcher non ?

par contre pour ce qui es de ip route je ne comprends pas du tout la syntaxe: quand je fais: ip route j'ai