Jump to content
  • 1
Sign in to follow this  
Михаил Лукьянов

fwmark маркирует не все пакеты

Question

Прошивка 2.14.C.0.0-4. Правило вида

iptables -t mangle -I PREROUTING -d 195.201.201.32/32 -j MARK --set-mark 9

Маркирует не все пакеты пока не отключить принудительно fastnat. Подробности тут: https://forum.keenetic.net/topic/5210-выборочный-роутинг-через-openvpn/?do=findComment&comment=68413 .

 

Share this post


Link to post
Share on other sites

5 answers to this question

  • 1
В 08.01.2019 в 15:28, Михаил Лукьянов сказал:

Прошивка 2.14.C.0.0-4. Правило вида


iptables -t mangle -I PREROUTING -d 195.201.201.32/32 -j MARK --set-mark 9

Маркирует не все пакеты пока не отключить принудительно fastnat. Подробности тут: https://forum.keenetic.net/topic/5210-выборочный-роутинг-через-openvpn/?do=findComment&comment=68413 .

 

Это особенность работы.

В закрепленной теме 

 описано, что нужно делать в таких случаях.

Share this post


Link to post
Share on other sites
  • 0

Существует вероятность когда-нибудь починить это? Просто когда два года назад для 2.08 выкатили fwmark - это позиционировалось как временный баг. А теперь он заматерел и превратился в "особенность работы".

Share this post


Link to post
Share on other sites
  • 0
17 часов назад, Михаил Лукьянов сказал:

Существует вероятность когда-нибудь починить это? Просто когда два года назад для 2.08 выкатили fwmark - это позиционировалось как временный баг. А теперь он заматерел и превратился в "особенность работы".

Раньше, до 2.08 fwmark использовался в ipsec и его не рекомендовалось трогать вообще. С 2.09 можно.

Впрочем, с 2.12 он опять используется (теперь уже для policy routing), и снова нужно аккуратно что-то добавлять.

А то, что он не работает нормально с fastnat - это всегда так было и будет. Эту особенность исправлять никто не планирует.

Написано же в теме - нужен полноценный netfilter и готовы жертвовать скоростью - отключайте все ускорители.

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0
13 минуты назад, Le ecureuil сказал:

Раньше, до 2.08 fwmark использовался в ipsec и его не рекомендовалось трогать вообще. С 2.09 можно.

Впрочем, с 2.12 он опять используется (теперь уже для policy routing), и снова нужно аккуратно что-то добавлять.

А то, что он не работает нормально с fastnat - это всегда так было и будет. Эту особенность исправлять никто не планирует.

Написано же в теме - нужен полноценный netfilter и готовы жертвовать скоростью - отключайте все ускорители.

А вот интересно почему для работы mark и policy routing не нужно отключать fastnat? Корректно же работает?!

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, r13 сказал:

А вот интересно почему для работы mark и policy routing не нужно отключать fastnat? Корректно же работает?!

Там везде внесены нужные поправки :) Поскольку эту настройку мы досконально знаем, то и подпатчили все под нее.

Однако под всевозможные пользовательские сценарии это не подоткнешь.

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×