(Excuses: ik weet niet zeker wat de etiquette hier vereist, maar...) Dit is een vervolg op een eerdere vraag waarop ik een antwoord heb gevonden. Ik ben re-posting omdat de oplossing die ik gaf deed werk voor een tijd. Ik was ook in staat om het weer aan het werk te krijgen door de tafels door te spoelen en de kettingen en regel opnieuw in te voeren. Beide keren stopte dit met werken zonder dat ik bewust een configuratie heb gewijzigd, en nu kan ik het helemaal niet laten werken. Hierdoor denk ik dat het probleem ergens anders ligt. Dus om samen te vatten:

  • We moeten de 'staff'-groep ongefilterde internettoegang geven (via apparaat enp1s0 op 192.168.10.200) rechtstreeks via de LAN-gateway (192.168.10.1).
  • We moeten de groep 'studenten' gefilterde toegang geven (via apparaat enp1s0.20 op 192.168.20.10) op een VLAN via een pfSense-gateway (192.168.20.2).

Hier is wat een beetje werkte:

iptables -t mangle -A OUTPUT -m owner --gid-owner "students" -j MARK --set-mark 42
iptables -t nat -A POSTROUTING -o enp1s0.20 -m mark --mark 42 -j SNAT --to-source 192.168.20.10
ip rule add fwmark 42 table 42
ip route add default via 192.168.20.2 dev enp1s0.20 table 42
iptables-save

De ongefilterde toegang werkt prima; het uitschakelen van enp1s0 en het verzenden van al het verkeer via de gefilterde gateway werkt zoals verwacht. We kunnen de studentengroep ook blokkeren met deze iptables-regel:

iptables -A OUTPUT -p tcp -m multiport --dport  80,443 -m owner --gid-owner "students" -j DROP

We gebruiken een Linux Mint 20.2-terminalserver met behulp van ThinLinc's Remote Desktop .

Als het niet te veel rommel is, plak ik graag de uitvoer van nmcli conn show , enz.

Bij voorbaat hartelijk dank.

no answer