Má být v POSTROUTING --src

Má být v POSTROUTING --src
« kdy: 31. 01. 2022, 23:43:20 »
Pro účely routování, je nutné aby v iptables -t nat POSTROUTING bylo upřesnění --src ?

-I POSTROUTING  (( --src 192.168.10.128/25  )) -o eth-ven -j SNAT --to-source 10.0.1.4


Pointa je v tom, že stroj na vnitřním rozhraní eth-moje má adresu 192.168.10.100 , klienti 129-253 . A určuje to, jestli do toho spadne i vlastní provoz routeru
Zjistil jsem, že se pak provoz přímo z něj nezobrazuje v conntrack -L a tudíž se provoz přímo z routeru neprohání přes conntrack(doufám). Kdyby tam omezení na --src nebylo, je to nějaká výkonnostní "zbytečná zátěž" Jde o neměřitelný vliv? Nebo jsou nějaký plusy/mínusy?



(Dá se to třeba pitvat, že přiřadím druhou ip addr add 10.0.1.2/32 dev eth-ven a přidám stejné pravidlo POSTROUTING bez --src, ale s --to 10.0.1.2, pak uvidím, že první counter je pro routovaný provoz a druhý counter pro vlastní provoz (dns například, updaty, download manager)



A jako bonus, mohl by kdo vysvětlit ip route add <A> via <B> dev <C>. Nějak jsem to z návodu nepochopil. Je to hlavně ve spojitosti s wireguard a VPN.
« Poslední změna: 31. 01. 2022, 23:46:55 od mikesznovu »


Re:Má být v POSTROUTING --src
« Odpověď #1 kdy: 13. 02. 2022, 14:35:38 »
Mábýt nebo nemábýt?

Re:Má být v POSTROUTING --src
« Odpověď #2 kdy: 16. 02. 2022, 23:20:15 »
Přítomen

Re:Má být v POSTROUTING --src
« Odpověď #3 kdy: 17. 02. 2022, 01:46:04 »
Ok, tak ja se toho tedy ujmu: ip route add <A> via <B> dev <C> je derivativni produkt rudeho posuvu jakobianu sekundarniho svihu Marie Kabrhelove.

AgentK

  • ***
  • 129
  • Evolve or die!
    • Zobrazit profil
    • E-mail
Re:Má být v POSTROUTING --src
« Odpověď #4 kdy: 17. 02. 2022, 08:10:26 »
> Pro účely routování, je nutné aby v iptables -t nat POSTROUTING bylo upřesnění --src ?

Není, určitě ne pro účely routování. --src ale můžeš taky negovat a zadat nějaký rozsah, to se může hodit, podle toho, čeho chceš dosáhnout.

Adresa pro odchozí provoz bývá dána bližším rozhraním, pokud to bude ven, tak použije externí adresu. Nebo to tak aspoň bývalo. Pokud ta adresa není zřejmá (interface bez adresy), odchozí adresa je snad první, která se kernelu namane.

>  Jde o neměřitelný vliv? Nebo jsou nějaký plusy/mínusy?

Netuším. Můj odhad je, ze bude velmi těžko měřitelný a že to asi nestojí za námahu.

> Dá se to třeba pitvat, že přiřadím druhou ip [...]

Dá, ale proč bys to chtěl dělat? Asi to jde, ale má to nějaký účel?

> ip route add <A> via <B> dev <C>

Asi v tom zbytečně hledáš "velkou vědu". Routuj rozsah A přes adresu B na zařízení C. C lze vynechat skoro vždycky, B jen pokud C je point-to-point.
Většinou stačí

ip route add 10.0.0.0/8 via 192.168.1.1

Nebo např

ip route add 10.0.0.0/8 dev ppp0