Il y a 2 fois "pedit pedit" sur TA ligne 2, c'est normal ?

Je suis parti d'un exemple de la manpage de pedit: https://man7.org/linux/man-pages/man8/tc-pedit.8.html
Mais ça fonctionne aussi avec un seul, c'est pareil.



Pour résumer:

Nos lignes 1 sont identiques.

Nos lignes 2 match les paquets DHCPv4, mais la mienne est plus drastique dans la sélection.
Justement il faut lire "ET" entre chaque critère. Je vérifie bien que le paquet n'a pas d'option (en-tête de 20 octets donc) ET n'est pas fragmenté (ou du moins est le 1er fragment).
Si tu ne vérifie pas ça, à l'offset 20 ("ip sport" et "ip dport") il y aura bien quelque chose, mais potentiellement pas des numéros de port.
Normalement avec des paquets DHCPv4 ça n'arrivera jamais, mais je préfère être strict.
D'ailleurs tu as oublié de vérifier le port source aussi.
Puis ma ligne 1 modifie en plus le DSCP et finalement corrige le checksum IPv4 rendu invalide par la modification du DSCP.

Ta ligne 3 match les paquets DHCPv6 et ne change que la priority, pas le DSCP.
Pour être plus rigoureux il faudrait ajouter le check du port source.
Par contre attention en IPv6, "ip6 protocol" ignore les cas où tu as un header intermédiaire, tel qu'un fragmentation header par exemple.
Bon ok pour du DHCPv6 ça ne devrait pas arriver, mais c'est bon à savoir.

Ta ligne 4 match les paquets ICMPv6 et ne change que la priority, pas le DSCP.
Attention tu match tous les paquets ICMPv6, pas que les NS/NA/RS et aussi ceux qui partent vers Internet au delà du BNG.
Même remarque aussi pour "ip6 procotol".

Mon script tc ne s'occupe pas du tout de IPv6, puisque normalement aucun programme ne devrait utiliser de raw socket pour ce protocole.
Je passe par des règles nftables exclusivement:

NET = eth1.832

table inet firewall {
chain prio_orange {
meta nfproto ipv4 \
meta priority set 0:0 \
ip dscp set cs0

meta nfproto ipv6 \
meta priority set 0:0 \
ip6 dscp set cs0
ip6 daddr { fe80::/10, ff02::/16 } \
icmpv6 type {
nd-router-solicit,
nd-neighbor-solicit,
nd-neighbor-advert
} \
meta priority set 0:6 \
ip6 dscp set cs6
ip6 daddr { fe80::/10, ff02::/16 } \
udp sport 546 \
udp dport 547 \
meta priority set 0:6 \
ip6 dscp set cs6
}

chain mangle_postrouting {
type filter hook postrouting priority mangle
policy accept

oifname $NET \
rt ipsec missing \
jump prio_orange
}
}

Enfin ceci dit busybox udhcpc6 utilise des raw socket pour DHCPv6, mais c'est du n'importe quoi, ça fait partie des aspects que je corrige avec mes patchs.

Question peut-être un peu bête : est-ce que par cohérence DHCPv4/v6 vous entendez également une cohérence des adresses MAC ? Je précise...

Mon switch n'est pas capable de marquer en CoS 6 en IPv4 et IPv6 sur le même port, c'est l'un ou l'autre...

Aie !

Dans un BNG, le contexte client est unique. On essaie de le lier plutôt à un indicateur indépendant des MAC.
Mais là on est dépendant de l'implémentation fournisseur et honnêtement, je le sens pas trop la MAC différente en IPv4 et en IPv6 dans un même contexte de ligne.
Cela peut marcher, ou pas, ou changer sans prévenir n'importe quand ...

LeVieux

Aie !

Dans un BNG, le contexte client est unique. On essaie de le lié plutôt à un indicateur indépendant des MAC.
Mais là on est dépendant de l'implémentation fournisseur et honnêtement, je le sens pas trop la MAC différente en IPv4 et en IPv6 dans un même contexte de ligne.
Cela peut marcher, ou pas, ou changer sans prévenir n'importe quand ...

LeVieux

Merci bien pour la réponse ! 

Je suis parti d'un exemple de la manpage de pedit: https://man7.org/linux/man-pages/man8/tc-pedit.8.html
Mais ça fonctionne aussi avec un seul, c'est pareil.



Pour résumer:

Nos lignes 1 sont identiques.

Nos lignes 2 match les paquets DHCPv4, mais la mienne est plus drastique dans la sélection.
Justement il faut lire "ET" entre chaque critère. Je vérifie bien que le paquet n'a pas d'option (en-tête de 20 octets donc) ET n'est pas fragmenté (ou du moins est le 1er fragment).
Si tu ne vérifie pas ça, à l'offset 20 ("ip sport" et "ip dport") il y aura bien quelque chose, mais potentiellement pas des numéros de port.
Normalement avec des paquets DHCPv4 ça n'arrivera jamais, mais je préfère être strict.
D'ailleurs tu as oublié de vérifier le port source aussi.
Puis ma ligne 1 modifie en plus le DSCP et finalement corrige le checksum IPv4 rendu invalide par la modification du DSCP.

Ta ligne 3 match les paquets DHCPv6 et ne change que la priority, pas le DSCP.
Pour être plus rigoureux il faudrait ajouter le check du port source.
Par contre attention en IPv6, "ip6 protocol" ignore les cas où tu as un header intermédiaire, tel qu'un fragmentation header par exemple.
Bon ok pour du DHCPv6 ça ne devrait pas arriver, mais c'est bon à savoir.

Ta ligne 4 match les paquets ICMPv6 et ne change que la priority, pas le DSCP.
Attention tu match tous les paquets ICMPv6, pas que les NS/NA/RS et aussi ceux qui partent vers Internet au delà du BNG.
Même remarque aussi pour "ip6 procotol".

Mon script tc ne s'occupe pas du tout de IPv6, puisque normalement aucun programme ne devrait utiliser de raw socket pour ce protocole.
Je passe par des règles nftables exclusivement:

Code: [Sélectionner]

NET = eth1.832

table inet firewall {
chain prio_orange {
meta nfproto ipv4 \
meta priority set 0:0 \
ip dscp set cs0

meta nfproto ipv6 \
meta priority set 0:0 \
ip6 dscp set cs0
ip6 daddr { fe80::/10, ff02::/16 } \
icmpv6 type {
nd-router-solicit,
nd-neighbor-solicit,
nd-neighbor-advert
} \
meta priority set 0:6 \
ip6 dscp set cs6
ip6 daddr { fe80::/10, ff02::/16 } \
udp sport 546 \
udp dport 547 \
meta priority set 0:6 \
ip6 dscp set cs6
}

chain mangle_postrouting {
type filter hook postrouting priority mangle
policy accept

oifname $NET \
rt ipsec missing \
jump prio_orange
}
}

Enfin ceci dit busybox udhcpc6 utilise des raw socket pour DHCPv6, mais c'est du n'importe quoi, ça fait partie des aspects que je corrige avec mes patchs.

Re,

Je cherche à me passer de passer par nftables pour utiliser uniquement tc.
Que penses-tu de ces rêlges :

1: tc filter add dev ${iface} parent 1: prio 1  protocol arp u32 match u8 0 0 action skbedit priority 0:6
2: tc filter add dev ${iface} parent 1: prio 2 protocol ip u32 match ip ihl 5 0xf match u16 0x0000 0x1fff at 6 match ip protocol 17 0xff match ip sport 68 0xffff match ip dport 67 0xffff action skbedit priority 0:6 pipe action pedit pedit munge ip tos set 0xc0 retain 0xfc pipe action csum ip4h
3a: tc filter add dev $iface parent 1: prio 3 protocol ipv6 u32 match ip6 protocol 17 0xff match ip6 sport 546 0xffff match ip6 dport 547 0xffff action skbedit priority 0:6 # dhcpv6 no DSCP
3b: tc filter add dev $iface parent 1: prio 3 protocol ipv6 u32 match ip6 protocol 17 0xff match ip6 sport 546 0xffff match ip6 dport 547 0xffff action skbedit priority 0:6 pipe action pedit pedit munge ip6 tos set 0xc0 retain 0xfc # dhcpv6 DSCP

la ligne 3a est plus précise que la mienne (je checl le sport et dport).
la ligne 3b, j'essaie de changer le DSCP en plus, mais je ne suis vraiment pas certain...
bien sûr c'est la ligne 3a OU 3b (pas les 2).

Enfin, pour la dernière ligne, je souhaitrais modifier les paquets icmpv6 NS/NA/RS, mais je ne sais pas si c'est possible avec tc. Une idée ?

merci

Merci ! Je vais tester.
Pour l’icmpv6 si la destination qui est en fe00::/7, la source c’est bien fe80::/10 ? On pourrait rajouter ce critère non ?

Ok donc uniquement la destination. Merci !