привіт, у мене є VPN server (strongswan) та Radius (на віддаленому хості). Мені треба _здублювати_ Radius Accounting на інший хост. Награвся iptables по саме не хочу й не навчив його цьому трюку. Судячи з доступної документації (напр https://westoahu.hawaii.edu/cyber/forensics-weekly-executive-summmaries/week... ) пакет має пройти через mangle prerouting та nat prerouting за будь-яких умов. Роблю наступне (див нижче конф iptables) - маркую пакет та розставляю LOG всюди, де він може з'явитись, так от - він попадає в логи в MANGLE-PREROUTING й в MANGLE-INPUT, а от в NAT PREROUTING - ні: 2024-09-15T20:58:28.872788+07:00 vft-dev-edge kernel: MANGLE-PRE IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=172.16.40.30 DST=172.16.40.32 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=38173 DF PROTO=UDP SPT=56012 DPT=1716 LEN=191 MARK=0x52 2024-09-15T20:58:28.872869+07:00 vft-dev-edge kernel: MANGLE-INP IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=172.16.40.30 DST=172.16.40.32 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=38173 DF PROTO=UDP SPT=56012 DPT=1716 LEN=191 MARK=0x52 причому що я ЩЕ не розумію - судячи з наведеної вище діаграми, там має бути decision "For this host?", так ось в лозі вище 172.16.40.30 - це локальна адреса, а 172.16.40.32 - це remote host, відповідно пакет мав би відмітитись в MANGLE-FORWARD, а не в MANGLE-INPUT. Шо я роблю не так? Дякую. *mangle # промаркувати Radius-accounting пакет -A OUTPUT -p udp --dport 1716 -j MARK --set-mark 0x52 # здублювати його на localhost -A OUTPUT -p udp --dport 1716 -j TEE --gateway 127.0.0.1 # перевірити де чувак з'явиться -A PREROUTING -i lo -p udp --dport 1716 -j LOG --log-prefix "MANGLE-PRE " -A INPUT -i lo -p udp --dport 1716 -j LOG --log-prefix "MANGLE-INP " -A FORWARD -p udp --dport 1716 -j LOG --log-prefix "MANGLE-FWD " COMMIT *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p udp --dport 1716 -j LOG --log-prefix "NAT-PRE " # це NAT для власне VPN'а, він на internet-facing інтерфейсі, залишаю для повноти картини -A POSTROUTING -o ens33 -j MASQUERADE COMMIT -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison