> Замечательно, значит, все в Интернете в разных сетях.Да
> Это вы делаете с помощью правила DNAT, которое вы привели.
Да
> Не думаю что оно дропается именно сетевой картой, если интересно, можно покопать.
Возможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение напротив dropped - столько пакетов, сколько я послал UDP.
> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с
> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки
> атаки IP spoofing, его мог зарезать кто угодно по дороге, и
> правильно сделал.
Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать между серверами что-то на подобии VPN?
> Какая обратная цепочка? Вы хотите чтобы ответ от обычного сервера с адресом
> получателя клиента тоже проходил через сервер фильтрации? Не вижу как это
> можно сделать, не вмешиваюсь в работу глобальной маршрутизации, как Ростелеком давеча.
Ну тут на самом деле 2 варианта. Либо передавать ответ через сервер и ставить IP адрес источника - сервер фильтрации. Или передать серверу фильтрации, чтобы он сам поставил и отдал клиенту.
Задержка меньше между Клиент - срв фильтрации - сервер, нежели клиент - сервер. Вероятно из-за маршрутов. Но не суть. Идея хорошая.
> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как
> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал
> на то что он дойдёт до обычного сервера.
Я являюсь полным владельцем физического сервера, исключение - провайдер сети.
> Даже если дойдёт, это дыра в безопасности, по крайней мере у вашего
> ISP, которую рано или поздно залатают.
> Поставьте сервер фильтрации в одной и той же локалке где клиент, с
> приватными адресами, и пусть он подменяет но только адрес получателя но
> и адрес отправителя. Тогда вся маршрутизация будет работать "нормально", а обычный
> сервер подмены не заметит т.к. сервер фильтрации и клиент всё равно
> имеют один и тот-же публичный адрес.
К сожалению, не могу поставить, они в разных местах. Думаю что-то типа VPN сделать.
Клиент может быть любой человек на планете с любым IP.
> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress
> interface одна и та-же что и ingress interface, система норовит не
> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда
> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как
> "дропается сетевой картой".
Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу.
Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального IP адреса сервера. Плюсом - сервер фильтрации имеет большую пропускную способность, чем сервер. И я уверен, что всякие дурочки не смогут забить канал. Не говорю, конечно, о целенаправленных атаках, где море трафика, типо бот нет сети.
Надеюсь продолжим дальнейшее общение.