Как исключить трафик FTP из маршрутизации через vpn?

Вы можете направлять ftp прямо в Интернет с помощью iptables

Здесь мы возьмем ftp для маршрутизации. Используйте mangle таблицу iptables для изменения пакетов ftp.

sudo iptables -t mangle -A OUTPUT -p tcp --dport 21 -j MARK --set-mark 0x1

Мы отмечаем все пакеты с портом назначения 21 как 0x1.

Теперь сохраните и перезапустите iptables.

sudo service iptables save
sudo service iptables restart

[d4 ] Затем создайте новую таблицу маршрутов IP в /etc/iproute2/rt_tables, просто указав запись

100 ftptable

Записать правило для пакетов ftp.

ip rule add fwmark 0x1 lookup ftptable

Добавить маршрут в новый таблица ftptable. Весь другой трафик будет проходить через vpn, если vpn установлен как шлюз по умолчанию, который можно увидеть командой ip route show.

Сделайте это в первый раз, когда вы подключены к vpn.

[d8 ] Мы копируем все записи, кроме записи по умолчанию из основной таблицы.

sudo ip route show table main | grep -Ev ^default | while read ROUTE ; do ip route add table ftptable $ROUTE; done

Добавить запись шлюза по умолчанию для пакетов ftp в таблицу ftptable

sudo ip route add default dev <your_interface> table ftptable

your_interfrace

Используйте ip route show table ftptable для отображения всех маршрутов в ftptable.

РЕДАКТИРОВАТЬ 1 [ ! d12]

Второй путь

Измените /etc/iproute2/rt_tables и добавьте новую таблицу, добавив следующую строку:

100 ftptable

Настройте новую таблицу маршрутизации с именем ftptable с помощью шлюз по умолчанию и создать правила для условного отправки трафика в эту таблицу.

ip route add default via <usual_gw_ip> dev <your_int> table ftptable
ip rule add fwmark 0x1 table ftptable

Ваш последний аннотированный сценарий будет выглядеть так:

# Populate secondary routing table
ip route add default via <usual_gw_ip> dev <your_int> table ftptable
# Anything with this fwmark will use the secondary routing table
ip rule add fwmark 0x1 table ftptable
# Mark these packets so that iproute can route it through ftptable
iptables -A OUTPUT -t mangle -o <your_int> -p tcp --dport 21 -j MARK --set-mark 1
# now rewrite the src-addr
iptables -A POSTROUTING -t nat -o <your_int> -p tcp --dport 21 -j SNAT --to <your_local_ip>

Try.

EDIT 2

Когда вы подключены к vpn, я думаю, что весь трафик проходит через них. В таблице маршрутизации вы увидите интерфейс gw по умолчанию tun0. Простой добавочный маршрут для маршрутизации трафика на ftp-сервер на другой интерфейс / ip

ip route add <your_ftp_server_ip/32> dev <your_exit_int>

<your_exit_int> - represent not tun interface example: eth0, ens160, ...

Вы можете направлять ftp прямо в Интернет с помощью iptables

Здесь мы возьмем ftp для маршрутизации. Используйте mangle таблицу iptables для изменения пакетов ftp.

sudo iptables -t mangle -A OUTPUT -p tcp --dport 21 -j MARK --set-mark 0x1

Мы отмечаем все пакеты с портом назначения 21 как 0x1.

Теперь сохраните и перезапустите iptables.

sudo service iptables save sudo service iptables restart

Затем создайте новую таблицу маршрутов IP в /etc/iproute2/rt_tables, просто указав запись

100 ftptable

Записать правило для пакетов ftp.

ip rule add fwmark 0x1 lookup ftptable

Добавить маршрут в новый таблица ftptable. Весь другой трафик будет проходить через vpn, если vpn установлен как шлюз по умолчанию, который можно увидеть командой ip route show.

Сделайте это в первый раз, когда вы подключены к vpn.

Мы копируем все записи, кроме записи по умолчанию из основной таблицы.

sudo ip route show table main | grep -Ev ^default | while read ROUTE ; do ip route add table ftptable $ROUTE; done

Добавить запись шлюза по умолчанию для пакетов ftp в таблицу ftptable

sudo ip route add default dev <your_interface> table ftptable

your_interfrace

Используйте ip route show table ftptable для отображения всех маршрутов в ftptable.

РЕДАКТИРОВАТЬ 1 [ ! d12]

Второй путь

Измените /etc/iproute2/rt_tables и добавьте новую таблицу, добавив следующую строку:

100 ftptable

Настройте новую таблицу маршрутизации с именем ftptable с помощью шлюз по умолчанию и создать правила для условного отправки трафика в эту таблицу.

ip route add default via <usual_gw_ip> dev <your_int> table ftptable ip rule add fwmark 0x1 table ftptable

Ваш последний аннотированный сценарий будет выглядеть так:

# Populate secondary routing table ip route add default via <usual_gw_ip> dev <your_int> table ftptable # Anything with this fwmark will use the secondary routing table ip rule add fwmark 0x1 table ftptable # Mark these packets so that iproute can route it through ftptable iptables -A OUTPUT -t mangle -o <your_int> -p tcp --dport 21 -j MARK --set-mark 1 # now rewrite the src-addr iptables -A POSTROUTING -t nat -o <your_int> -p tcp --dport 21 -j SNAT --to <your_local_ip>

Try.

EDIT 2

Когда вы подключены к vpn, я думаю, что весь трафик проходит через них. В таблице маршрутизации вы увидите интерфейс gw по умолчанию tun0. Простой добавочный маршрут для маршрутизации трафика на ftp-сервер на другой интерфейс / ip

ip route add <your_ftp_server_ip/32> dev <your_exit_int> <your_exit_int> - represent not tun interface example: eth0, ens160, ...

Вы можете направлять ftp прямо в Интернет с помощью iptables

Здесь мы возьмем ftp для маршрутизации. Используйте mangle таблицу iptables для изменения пакетов ftp.

sudo iptables -t mangle -A OUTPUT -p tcp --dport 21 -j MARK --set-mark 0x1

Мы отмечаем все пакеты с портом назначения 21 как 0x1.

Теперь сохраните и перезапустите iptables.

sudo service iptables save sudo service iptables restart

Затем создайте новую таблицу маршрутов IP в /etc/iproute2/rt_tables, просто указав запись

100 ftptable

Записать правило для пакетов ftp.

ip rule add fwmark 0x1 lookup ftptable

Добавить маршрут в новый таблица ftptable. Весь другой трафик будет проходить через vpn, если vpn установлен как шлюз по умолчанию, который можно увидеть командой ip route show.

Сделайте это в первый раз, когда вы подключены к vpn.

Мы копируем все записи, кроме записи по умолчанию из основной таблицы.

sudo ip route show table main | grep -Ev ^default | while read ROUTE ; do ip route add table ftptable $ROUTE; done

Добавить запись шлюза по умолчанию для пакетов ftp в таблицу ftptable

sudo ip route add default dev <your_interface> table ftptable

your_interfrace

Используйте ip route show table ftptable для отображения всех маршрутов в ftptable.

РЕДАКТИРОВАТЬ 1 [ ! d12]

Второй путь

Измените /etc/iproute2/rt_tables и добавьте новую таблицу, добавив следующую строку:

100 ftptable

Настройте новую таблицу маршрутизации с именем ftptable с помощью шлюз по умолчанию и создать правила для условного отправки трафика в эту таблицу.

ip route add default via <usual_gw_ip> dev <your_int> table ftptable ip rule add fwmark 0x1 table ftptable

Ваш последний аннотированный сценарий будет выглядеть так:

# Populate secondary routing table ip route add default via <usual_gw_ip> dev <your_int> table ftptable # Anything with this fwmark will use the secondary routing table ip rule add fwmark 0x1 table ftptable # Mark these packets so that iproute can route it through ftptable iptables -A OUTPUT -t mangle -o <your_int> -p tcp --dport 21 -j MARK --set-mark 1 # now rewrite the src-addr iptables -A POSTROUTING -t nat -o <your_int> -p tcp --dport 21 -j SNAT --to <your_local_ip>

Try.

EDIT 2

Когда вы подключены к vpn, я думаю, что весь трафик проходит через них. В таблице маршрутизации вы увидите интерфейс gw по умолчанию tun0. Простой добавочный маршрут для маршрутизации трафика на ftp-сервер на другой интерфейс / ip

ip route add <your_ftp_server_ip/32> dev <your_exit_int> <your_exit_int> - represent not tun interface example: eth0, ens160, ...