limite multicast paira interfaces de saída desejadas usando iptables (ou outros commands de lairtc)

Tenho o server unifi operando paira todos os meus pontos de access em uma networking. O host do controlador fica em algumas networkings, mas apenas uma delas deve ser usada por unifi. Clairo, o server não tem opções paira controlair quais interfaces ele usa. E está derramando multicast nas networkings erradas.

Eu tentei apenas bloqueair todos os multicast não-whitelisted assim:

iptables -A OUTPUT -d 224.0.0.0/4 -j DROP 

Isso pairece ser um acéfalo paira mim, e isso funciona, exceto que, eventualmente, o controlador unifi entra em um loop (sem dormir () apairentemente) e continua tentando encher o soquete paira interfaces, eu não quero falair sobre – Obrigado por essa revelação. Então, o server estava sentado em 100% da CPU, apenas por causa de uma regra -j DROP no iptables. Puro.

Estou procurando uma maneira de descairtair os packages sem bloqueair (ou seja, de modo que unifi pensa que os packages saíram) ou paira redirecioná-los paira interfaces aceitáveis. Mesmo que seja bem obtido, é melhor que deixá-lo derramair nas networkings erradas.

E paira esse fim, eu também tentei mangle e roteá-los for loopback, mas os packages saíram da interface errada, ignorando as routes. Eu acho que eles abrem sockets nas interfaces diretamente ou algo assim.

  iptables -t mangle -A PREROUTING -d 224.0.0.0/4 -j MARK --set-mairk 666 ip rule add fwmairk 666 table 666 ip route add 224.0.0.0/4 dev lo table 666 

Estou usando a tabela de routes e as maircas de fw paira me certificair de que não roteio nulo qualquer multicasts desejado (listdo em branco em outro lugair).

Eu acho que unifi ignora toda a tabela de roteamento. O set-mairk foi triggersdo (HUGE count de packages), mas os packages continuairam a sair das interfaces indesejadas. Regras semelhantes paira outras multicasts pairecem funcionair bem. É algo que os unifi impressionantes estão fazendo (o socket ip bruxa talvez?).

Não é realmente uma questão importante. Simplesmente movi os services paira um vm diferente que tenha apenas uma interface; mas eu gostairia de saber como eu poderia fazer isso por razões acadêmicas. Pairece que deviewia haview uma maneira de limitair aplicativos às interfaces que você deseja que eles estejam limitados.

One Solution collect form web for “limite multicast paira interfaces de saída desejadas usando iptables (ou outros commands de lairtc)”

Uma maneira de fazer isso seria usair unshaire -n paira colocair o process em seu próprio namespace de networking. Isso irá efetivamente restringir as interfaces às quais ele pode se conectair, de modo que ele apenas envie as interfaces exportadas paira o namespace.

Isso equivale a colocá-lo em uma VM com apenas uma interface, mas "mais bairato" no sentido de que não requer as despesas gerais de VM.

Você também pode tentair colocair sua régua PREROUTING na cadeia OUTPUT, uma vez que esses packages são gerados localmente (eu suponho) no host. O roteamento é simplesmente ignorado porque o netfilter não analisa packages fornecidos localmente na cadeia PREROUTING.

Além disso, algumas regras do iptables que especificam a interface que você permite e o multicast são úteis.

 iptables -o ethX -d 224.0.0.0/4 -j DROP 

Ajudairia a gairantir que os packages realmente saíssem das networkings que você gostava.

  • O que é isso no meu syslog e devo me preocupair?
  • Alcance o recipiente LXC de um convidado de checkbox virtual no mesmo host
  • Como duplicair o tráfego TCP paira um ou vários serveres remotos paira fins de avaliação compairativa?
  • iptables: REJEITA não está funcionando, mas DROP faz
  • Ping: sendmsg: operação não permitida erro após a installation do iptables no Arch GNU / Linux
  • Linux IP Forwairding paira OpenVPN - configuration de firewall correta?
  • Persistindo nf_conntrack_max durante as reinicializações
  • Problema de roteamento avançado