Страница 1 из 1
					
				Перенаправление трафика пользователя.
				Добавлено: 2019-06-09 15:00:26
				 novik
				Как с помощью PF реализовать такой функционал?
Как в iptables перенаправить трафика нужного пользователя в другой интерфейс?
Код: Выделить всё
iptables -t mangle -N markrt
iptables -t mangle -F markrt
#в локальную сеть не маркируем
iptables -t mangle -A markrt -d 172.16.0.0/24 -j RETURN
iptables -t mangle -A markrt -m connmark ! --mark 0 -j RETURN
iptables -t mangle -A markrt -j MARK --set-mark 10
iptables -t mangle -A OUTPUT -m owner --uid-owner 1001  -j markrt
#если приложение не прибито к интерфейсу eth1, то адрес будет кривым. исправляем
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#делаем default маршрут, поменять на свое, table 10 - оставить
ip route add default dev eth1 via 172.16.0.1 table 10
#пакеты, промаркированные 0xa должны маршрутизироваться по правилу
ip rule add fwmark 10 lookup 10
 
			
					
				Перенаправление трафика пользователя.
				Добавлено: 2019-06-10 10:50:49
				 skeletor
				в pf'e нет возможности фильтровать по uid.
			 
			
					
				Перенаправление трафика пользователя.
				Добавлено: 2019-06-10 19:22:37
				 novik
				skeletor писал(а): ↑2019-06-10 10:50:49
нет возможности фильтровать по uid
 
А что-то другое, не PF, из арсенала FreeBSD может?
 
			
					
				Перенаправление трафика пользователя.
				Добавлено: 2019-06-10 22:36:43
				 novik
				skeletor писал(а): ↑2019-06-10 10:50:49
в pf'e нет возможности фильтровать по uid.
 
После долгих поисков, в man pf.conf я кажется нашёл то, что нужно?
     group <group>
           Similar to user, this rule only applies to packets of sockets owned
           by the specified group.
     user <user>
           This rule only applies to packets of sockets owned by the specified
           user.  For outgoing connections initiated from the firewall, this
           is the user that opened the connection.  For incoming connections
           to the firewall itself, this is the user that listens on the
           destination port.  For forwarded connections, where the firewall is
           not a connection endpoint, the user and group are unknown.
           All packets, both outgoing and incoming, of one connection are
           associated with the same user and group.  Only TCP and UDP packets
           can be associated with users; for other protocols these parameters
           are ignored.
           User and group refer to the effective (as opposed to the real) IDs,
           in case the socket is created by a setuid/setgid process.  User and
           group IDs are stored when a socket is created; when a process
           creates a listening socket as root (for instance, by binding to a
           privileged port) and subsequently changes to another user ID (to
           drop privileges), the credentials will remain root.
           User and group IDs can be specified as either numbers or names.
           The syntax is similar to the one for ports.  The value unknown
           matches packets of forwarded connections.  unknown can only be used
           with the operators = and !=.  Other constructs like user >= unknown
           are invalid.  Forwarded packets with unknown user and group ID
           match only rules that explicitly compare against unknown with the
           operators = or !=.  For instance user >= 0 does not match forwarded
           packets.  The following example allows only selected users to open
           outgoing connections:
                 block out proto { tcp, udp } all
                 pass  out proto { tcp, udp } all user { < 1000, dhartmei }
 
			
					
				Перенаправление трафика пользователя.
				Добавлено: 2019-06-12 11:48:25
				 skeletor
				Судя по man'y, то да. Попробуйте, расскажите. Возможно я был не прав ))
			 
			
					
				Перенаправление трафика пользователя.
				Добавлено: 2019-10-14 18:24:49
				 novik
				skeletor писал(а): ↑2019-06-12 11:48:25
Попробуйте, расскажите.
 
Вроде нормально работает.
Код: Выделить всё
pass out quick on $ext_if route-to ($vpn_if $gw_vpn) from ($vpn_if) to any user novik
pass in quick on $ext_if route-to ($vpn_if $gw_vpn) from ($vpn_if) to any user novik
pftop кажет:
Код: Выделить всё
   7  Pass     Out     Q ng0              K  3365231 1191425K 3253144K       route-to ... inet from (ng1) to any user = 1001  flags S/SA
   8  Pass     In      Q ng0              K        0        0 3253144K       route-to ... inet from (ng1) to any user = 1001  flags S/SA