forum.opennet.ru

Составление сообщения

Исходное сообщение

"Мета-информация пакета при прохождении через ipfw nat"
Отправлено Amator, 08-Фев-10 14:45

Спасибо всем за помощь.
Ответ был получен из списка рассылки администраторов FreeBSD.
    Был бы очень признателен, если бы кто-то прояснил ситуацию с прохождением
    пакетов через сетевой стёк - добавление мета-информации о recv, xmit
    интерфейсах
    и со сменой направления in/out. Особенно после выхода из ipfw nat и
    pipe/queue.

http://nuclight.livejournal.com/124348.html
    Поэтому пишем правило для NAT-а:
    ${ipfw_cmd} add 1030 nat 1 ip from ${localnet} to any in recv ${int_if}
^^^ ^^^^^^^^^^^^^^^^^
Так нельзя.
    NAT подменил ip сотрудника из localnet на ip интерфейса ext_if и,
    снова-таки если верить документации :), пакет идёт
    в следующее правило, а не в начало ruleset-а, но мета-информация теперь
    какая???
    ip from ext_ip to any in recv ${int_if} теперь как-то неправильно,
    так как у пакета теперь ip интерфейса ext_if :)
    ip from 1.2.3.4 to any in recv ${int_if}
    ???
    Как оно на самом деле? После ipfw nat какая мета-информация в пакета?
    Как она меняется?

Не меняется (нат инджектит в то же место, куда показывала метаинформация).
В правиле ошибка - нат вешают на out и внешний интерфейс, а не на
внутренний. Более того, оно так даже и не заработает без ключа реверса -
нат увидит входящие пакеты и посчитает, что их надо разнатить обратно.

Исходное сообщение
"Мета-информация пакета при прохождении через ipfw nat" Отправлено Amator, 08-Фев-10 14:45
Спасибо всем за помощь. Ответ был получен из списка рассылки администраторов FreeBSD. Был бы очень признателен, если бы кто-то прояснил ситуацию с прохождением пакетов через сетевой стёк - добавление мета-информации о recv, xmit интерфейсах и со сменой направления in/out. Особенно после выхода из ipfw nat и pipe/queue. http://nuclight.livejournal.com/124348.html Поэтому пишем правило для NAT-а: ${ipfw_cmd} add 1030 nat 1 ip from ${localnet} to any in recv ${int_if} ^^^ ^^^^^^^^^^^^^^^^^ Так нельзя. NAT подменил ip сотрудника из localnet на ip интерфейса ext_if и, снова-таки если верить документации :), пакет идёт в следующее правило, а не в начало ruleset-а, но мета-информация теперь какая??? ip from ext_ip to any in recv ${int_if} теперь как-то неправильно, так как у пакета теперь ip интерфейса ext_if :) ip from 1.2.3.4 to any in recv ${int_if} ??? Как оно на самом деле? После ipfw nat какая мета-информация в пакета? Как она меняется? Не меняется (нат инджектит в то же место, куда показывала метаинформация). В правиле ошибка - нат вешают на out и внешний интерфейс, а не на внутренний. Более того, оно так даже и не заработает без ключа реверса - нат увидит входящие пакеты и посчитает, что их надо разнатить обратно.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру