Demorei 3 dias para entender este problema e encontrar a solução para ele, e acho que pode ser útil para outras pessoas, a medida que aumenta-se a oferta e disponibilidade de serviços de acesso a internet.
Como todos sabem é simples e eficiente fazer balanceamento de carga entre dois links de internet com Linux.
Isso é feito utilizando o Alvo(Target) MARK do iptables em conjunto com algumas regras do iproute2[1].
O problema aparece quando começamos a trabalhar com vários alvos MARK. No meu caso específico encontrei este problema quando comecei a utilizar o NoCat como autenticador da rede, ele identifica o pacote já autenticado através de marcas relacionadas a pacotes, 0x4 para não autenticados e 0x3,0x2 e 0x1 para os autenticados, dependendo do grupo ele escolhe entre as marcas 3,2 e 1.
Quando eu precisei fazer com que determinados pacotes saissem por uma segunda conexão com a internet os problemas começaram. De forma alguma eu consegui fazer funcionar. Eu removia todas as regras subia apenas as regras necessárias ao roteamento e funcionava, quando misturava com as regras nada de funcionar.
Após ler muitos logs e fazer muitos testes comecei a entender o funcionamento.
No geral quando um pacote casa com uma regra o iptables para o processamento na chain e passa para a próxima chain (ou para o envio do pacote quando chega na última chain). Mas no caso do alvo MARK, como o pacote não foi aceitado nem rejeitado, o processamento não para, ele simplesmente associa o pacote à marca e segue para próxima regra. Se houver alguma outra regra de MARK conflitante, que também case com o pacote, a marca do pacote será alterada.
Exemplo:
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -d 200.xxx.xxx.0/24 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -d 0/0 -j MARK --set-mark 2
Neste caso todos os pacotes com origem em 192.168.0.0/24 serão marcados com 2 no final do processamento
Se a última regra desta chain fosse:
iptables -t mangle -A PREROUTING -s 0/0 -d 0/0 -j MARK --set-mark 5
Todos os pacotes seriam marcados com 5.
Desta forma é preciso muita atenção para criar regras de marcação de pacotes, a fim de evitar que a marca não seja aplicada corretamente.
No caso do exemplo a melhor ordem para as regras seria:
iptables -t mangle -A PREROUTING -s 0/0 -d 0/0 -j MARK --set-mark 5
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -d 0/0 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -d 200.xxx.xxx.0/24 -j MARK --set-mark 1
Desta forma todos os pacotes com origem em 192.168.0.0/24 com destino a 200.xxx.xxx.0/24 recebem marca 1, com origem 192.168.0.0/24 e qualquer destino recebem marca 2 e os demais pacotes marca 5
Espero que seja útil para mais alguém esta informação
Abraços a todos!
[1] http://lartc.org/
Comentários recentes
5 dias 4 horas atrás
5 dias 17 horas atrás
1 semana 1 dia atrás
2 semanas 1 dia atrás
2 semanas 3 dias atrás
3 semanas 4 dias atrás
3 semanas 5 dias atrás
3 semanas 6 dias atrás
5 semanas 5 dias atrás
7 semanas 9 horas atrás