Правила IPtables mangle

[gaaronk]

Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ?

Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ.

Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт.

Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:36 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:49 MSK 2019
Mon Jul 8 06:10:50 MSK 2019

В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех.

Как ПРАВИЛЬНО это делать? 

[gaaronk]

Забыл добавить - прошивка 2.15.C.5.0-0

[Le ecureuil]

То, что оно так часто дергается странно, но наверное включен policy routing для хостов? Тогда объяснимо.

Стоит проверить на 3.1, были предприняты усилия по уменьшению числа перезаписей.

Ну и можно ключ -w использовать в iptables.

[gaaronk]

Прошу прощения за задержку с ответом.

Нет, полиси роутинга нет, но есть IPSec site-to-site. Такое впечатление что дергается в момент перестроения IKE SA, а не IPSec SA. 

 

Насчёт -w спасибо, попробую. 

Изменено 5 августа, 2019 пользователем gaaronk

[gaaronk]

А скажите, работа с iptables планируется к изменению? Версия 3.4.6

Вот простой скрипт 

#!/bin/sh

[ "$table" != "mangle" ] && exit 0

echo `date` >> /tmp/mangle.tstmp

exit 0

 

Вот вывод скрипта. Нормально и корректно добавить свои правила в таблицу mangle через хук реально невозможно.  Или может есть вариант сказать прошивке что я хочу добавлять и она сама будет это вписывать при каждом передёргивании?

Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020

 

[Le ecureuil]

Покажите self-test, даже интересно, что там может вызывать такое частое переключение.

В 3.4 по идее дергание должно было даже сократится.

[gaaronk]

Идут года, а хуками netfilter пользоваться все так же невозможно...

Вот с такой частотой продолжает вызываться скрипт для таблицы mangle

Fri Jun 24 06:41:47 MSK 2022
Fri Jun 24 06:46:25 MSK 2022
Fri Jun 24 06:46:59 MSK 2022
Fri Jun 24 06:51:47 MSK 2022
Fri Jun 24 06:51:47 MSK 2022
Fri Jun 24 06:54:14 MSK 2022
Fri Jun 24 06:55:47 MSK 2022
Fri Jun 24 06:59:15 MSK 2022
Fri Jun 24 07:00:47 MSK 2022
Fri Jun 24 07:01:22 MSK 2022
Fri Jun 24 07:02:47 MSK 2022
Fri Jun 24 07:04:17 MSK 2022

Версия 3.7.4

[gaaronk]

А это я сам дурак. Надо проверять не только $table но и $type

А то IPv6 firewall часто дергает mangle