iptables使用mark標(biāo)記后再snat出現(xiàn)問(wèn)題

loler_zuan

先簡(jiǎn)單說(shuō)說(shuō)需求。兩個(gè)wan口，n個(gè)lan口，根據(jù)不同的協(xié)議進(jìn)行不同的轉(zhuǎn)發(fā)。
我用的是clearos（軟路由）和layer7-user-space。
對(duì)每個(gè)滿(mǎn)足設(shè)置協(xié)議的數(shù)據(jù)包打標(biāo)記8。如果標(biāo)記8則轉(zhuǎn)發(fā)到wan1，否則轉(zhuǎn)發(fā)到wan2。
之后設(shè)置snat，如果標(biāo)記8，snat的源地址改為wan1的地址。否則同理設(shè)置為wan2的。
感覺(jué)這樣設(shè)置沒(méi)問(wèn)題了。但是出現(xiàn)了下面的情況。

上面的policy ACCEPT接受0個(gè)包，為什么下面的規(guī)則還有處理的數(shù)據(jù)包？

下面附上我的設(shè)置。  我的layer7給QQ協(xié)議打標(biāo)記8，經(jīng)測(cè)試，這步肯定沒(méi)問(wèn)題。
我的環(huán)境是用虛擬機(jī)搭建的。wan1和wan2其實(shí)都是局域網(wǎng)內(nèi)分配的，網(wǎng)管是192.168.72.254
我執(zhí)行了下面的腳本

#! /bin/sh
ip route add table 8 via 192.168.72.254 dev eth1 #這個(gè)是wan2，對(duì)應(yīng)的IP是192.168.72.106
ip route add table 10 via 192.168.72.254 dev eth0 #這個(gè)是wan1，對(duì)應(yīng)的IP是192.168.72.103
iptables -F
iptables -t mangle -A PREROUTING -s 192.168.164.0/24 -j NFQUEUE
iptables -t mangle -A PREROUTING -d 192.168.164.0/24 -j NFQUEUE #這兩步是為了layer在用戶(hù)態(tài)可以執(zhí)行，這步設(shè)置沒(méi)問(wèn)題

iptables -t nat -A POSTROUTING -m mark ! --mark 8 -j SNAT --to-source 192.168.72.103
iptables -t nat -A POSTROUTING -m mark --mark 8 -j SNAT --to-source 192.168.72.106

跟蹤各個(gè)規(guī)則，發(fā)現(xiàn)在POSTROUTING的mangle點(diǎn)的hook函數(shù)中，還可以檢測(cè)到被標(biāo)記的數(shù)據(jù)包。
到下一個(gè)hook函數(shù)，也就是nat表中的函數(shù)，就檢測(cè)不到了。
出現(xiàn)了上面圖片的結(jié)果。
這什么情況��？完全沒(méi)頭緒

chenyx

你現(xiàn)在數(shù)據(jù)包不是能發(fā)送到對(duì)應(yīng)的wan口嗎.
你試試在nat的時(shí)候,不用mark,直接-o ethx -j SNAT ...
這樣能不能滿(mǎn)足要求

loler_zuan

還是不可以啊。只能轉(zhuǎn)發(fā)到第一個(gè)eth0。會(huì)不會(huì)是通過(guò)fwmark來(lái)識(shí)別不同的路由表的時(shí)候出了問(wèn)題？回復(fù) 2# chenyx


   

chenyx

不清楚,你先保證數(shù)據(jù)包按照你的要求被轉(zhuǎn)發(fā)到相應(yīng)的端口.

loler_zuan

回復(fù) 4# chenyx

在POSTROUTING上先執(zhí)行mangle掛載的hook函數(shù)，然后是nat掛載的hook函數(shù)。
在mangle的hook點(diǎn)，QQ協(xié)議數(shù)據(jù)包發(fā)往eth1，但是到了nat，發(fā)往eth0的數(shù)據(jù)包就成了0。好奇怪


   

chenyx

我記得策略路由應(yīng)該可以根據(jù)你的數(shù)據(jù)包的mark選擇路由表吧,你測(cè)試下

loler_zuan

回復(fù) 6# chenyx

使用fwmark可以根據(jù)標(biāo)記選擇路由表
從結(jié)果看，應(yīng)該是已經(jīng)選擇了正確的路由表，QQ協(xié)議數(shù)據(jù)包確實(shí)發(fā)往eth1。但是在POSTROUINT的第二個(gè)hook函數(shù)中，發(fā)往eth1的數(shù)據(jù)包沒(méi)了


   

lihongweibj

學(xué)習(xí)學(xué)習(xí)了