Tôi có một máy EC2 chạy Ubuntu 20.04 với 2 giao diện ethernet. Cả hai đều được kết nối với cùng một mạng con và cả hai đều có thể truy cập được từ bên ngoài. Tôi đã tạo 2 bảng định tuyến tùy chỉnh, một bảng cho mỗi giao diện và cả hai chỉ chứa các mục nhập tuyến cho chính máy, mạng con ngay lập tức và một cổng mặc định thông qua giao diện tương ứng. Tôi có thể thêm quy tắc cho tất cả lưu lượng truy cập để sử dụng một trong các bảng định tuyến tùy chỉnh và nó hoạt động: máy sẽ sử dụng giao diện được chỉ định và địa chỉ IP tương ứng để liên lạc ra bên ngoài. Tuy nhiên, nếu tôi thêm quy tắc để sử dụng bảng định tuyến tùy chỉnh dựa trên đánh dấu gói mà tôi áp dụng qua iptables, mọi thứ sẽ ngừng hoạt động và không có lưu lượng truy cập nào rời khỏi máy của tôi.
Dưới đây là các bit chính của cấu hình có liên quan:
$ tuyến đường ip sudo
10.0.11.0/24 dev ens6 liên kết phạm vi kernel proto src 10.0.11.52
10.0.11.0/24 dev ens5 liên kết phạm vi kernel proto src 10.0.11.201
$ sudo ip route hiển thị bảng if1
mặc định qua 10.0.11.1 dev ens5 số liệu tĩnh proto 100
10.0.11.0/24 dev ens5 liên kết phạm vi tĩnh proto src 10.0.11.52
10.0.11.201 dev ens5 chỉ số liên kết phạm vi tĩnh proto 100
$ sudo ip route hiển thị bảng if2
mặc định qua 10.0.11.1 dev ens6 chỉ số tĩnh proto 200
10.0.11.0/24 dev ens6 liên kết phạm vi tĩnh proto src 10.0.11.201
10.0.11.52 dev ens6 chỉ số liên kết phạm vi tĩnh proto 200
quy tắc $ ip
0: từ tất cả tra cứu cục bộ
46: từ tất cả tra cứu fwmark 0x3 if1
47: từ tất cả tra cứu fwmark 0x2 if2
50: từ 10.0.11.201 tra cứu if1
100: từ 10.0.11.52 tra cứu if2
32766: từ tất cả tra cứu chính
32767: từ tất cả tra cứu mặc định
$ sudo iptables -S -t mangle
-P CHẤP NHẬN TRƯỚC
-P CHẤP NHẬN ĐẦU VÀO
-P CHẤP NHẬN VỀ PHÍA TRƯỚC
-P CHẤP NHẬN ĐẦU RA
-P SAU KHI CHẤP NHẬN
-A OUTPUT -m chủ sở hữu --uid-chủ sở hữu 1002 -j MARK --set-xmark 0x3/0xffffffff
-A OUTPUT -m chủ sở hữu --uid-chủ sở hữu 1003 -j MARK --set-xmark 0x2/0xffffffff
Mục tiêu của tôi là định tuyến lưu lượng truy cập từ người dùng có uid 1002 qua giao diện ens5 (if1) và lưu lượng truy cập từ người dùng có uid 1003 qua ens6 (if2) nhưng tôi đang làm sai ở đâu đó và nó khiến tôi phát điên....
Tôi có thể thấy rằng các gói được đánh dấu đang được xử lý theo cách khác, vì vậy có điều gì đó đang xảy ra. Nếu tôi chỉ định một tuyến đường mặc định cho bảng định tuyến chính và sau đó chỉ đánh dấu lưu lượng cho uid 1002, thì tất cả người dùng có thể thực hiện các kết nối ra ngoại trừ uid 1002. Vì vậy, tôi biết việc đánh dấu có tác dụng, tôi biết các gói được đánh dấu sẽ được định tuyến theo cách khác và tôi biết tùy chỉnh của mình các bảng tuyến đường hoạt động nhưng ở đâu đó trong chòm sao này có lỗi và tôi không thể tìm thấy nó.
Bất kỳ trợ giúp sẽ được đánh giá rất cao vào thời điểm này!
--chỉnh sửa--
Tôi đã đạt được điều này bằng cách dựa trên thiết lập của mình dựa trên cách tiếp cận được nêu ở đây: Cố gắng định tuyến các yêu cầu http gửi đi thông qua VPN trên Ubuntu Server 12.04
và một số tùy chỉnh vì tôi không muốn định tuyến lưu lượng dựa trên các cổng cụ thể nhưng có nguồn gốc từ uid.
