forum.opennet.ru

"Перенаправление трафика (forwarding)"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Перенаправление трафика (forwarding)"	+/–
Сообщение от romanegunkov (ok), 21-Апр-20, 23:21
>> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а >> на конечном. Может даже не дропится, а отсылается клиенту, но получается >> нестыковка сессии по IP адресам. > Нет там никакой сессии, UDP же. Давно это было, может я и забыл какие-то нюансы. Но, кажется, может зависеть от реализации. Если отправить запрос на один адрес, а получить ответ с другого, возможно будет проблемой. А "сессия" в iptables даже для ICMP применяется, правда на SNAT, именно сессия в кавычках. >> Поставьте на >> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >> отрабатывал, должно заработать. > Конечный сервер и сервер фильтрации в разных сетях. Да, наводит на мысль, что в обратку SNAT, надо бы. Как тут в примере 5.7 http://linux-ip.net/html/nat-dnat.html Но тут пока до всего этого не дошло. Пока просто до конечного сервака пакет не доходит, как будто форвардинг не работает.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Перенаправление трафика (forwarding), WeSTMan, 21-Апр-20, 17:39 [смотреть все]

Какой линукс Линукс ли A Постарайтесь нарисовать топологию, или придумайте им в, Licha Morada, 21-Апр-20, 19:04 (1) //
- В принципе ожидал, что будет не совсем понятно У нас есть 3 участника сети IP а, WeSTMan, 21-Апр-20, 20:42 (2) //
  - Замечательно, значит, все в Интернете в разных сетях Это вы делаете с помощью пр, Licha Morada, 21-Апр-20, 21:42 (3) //
    - ДаДаВозможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение на, WeSTMan, 21-Апр-20, 22:05 (4)
      - Да, можно Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и мар, Licha Morada, 21-Апр-20, 22:58 (11)
        
        gt оверквотинг удален Я могу залить файл pcap для wireshark, там видно весь тр, WeSTMan, 21-Апр-20, 23:27 (14)
        
        Ну, значит dropped Тогда надо смотреть на флаг ip_forward, таблицу маршрутизаци, Licha Morada, 21-Апр-20, 23:40 (16)
        
        Можете что-нибудь подсказать Суть такова, чтобы был неизвестный реальный IP сер, WeSTMan, 22-Апр-20, 00:13 (17)
        
        Вот этот вариант из примера должен подойти, только там опечатка, кажется, для SN, romanegunkov, 22-Апр-20, 00:35 (21)
        Подсказывать тут особо нечего Концептуально вам поможет прокси, реализованный т, Licha Morada, 22-Апр-20, 01:53 (23)
        
        iptables -L -v -nChain INPUT policy ACCEPT 10115 packets, 552K bytes pkts byte, WeSTMan, 22-Апр-20, 00:19 (18)
        
        Никто forward не запрещает Если у вас OpenVZ, дальше я бы стал копать там А воо, Licha Morada, 22-Апр-20, 01:55 (24)
        
        ACCEPT везде, пока я не разберусь с маршрутизацией Далее политики DROP поставлю, WeSTMan, 22-Апр-20, 07:30 (25)
        Interfacesauto venet0iface venet0 inet manual up ifconfig venet0 up , WeSTMan, 22-Апр-20, 08:02 (26)
        
        Вы подтвердите или опровергните Ваш фильтрующий сервер не виртуальная машина, а, Licha Morada, 22-Апр-20, 18:27 (30)
        
        gt оверквотинг удален Использую OpenVPN без шифрования Спасибо за ответы , WeSTMan, 22-Апр-20, 21:42 (31)
Послушайте снифером на конечном сервере Кажется дропится не на сервере фильтрац, romanegunkov, 21-Апр-20, 22:07 (5) //
- Конечный сервер ничего не получает Отлавливал через tshark, WeSTMan, 21-Апр-20, 22:11 (6) //
  - Чудеса А в tshark по каким-то критериям отлавливаете Попробуйте в iptables пропи, romanegunkov, 21-Апр-20, 22:29 (7) //
    - Все это дело тестировал tshark -f port 27017 -i ppp0Я писал, что пакеты дропа, WeSTMan, 21-Апр-20, 22:31 (8)
      - gt оверквотинг удален Может есть правило дропать, или я что-то не понимаю Пос, romanegunkov, 21-Апр-20, 22:45 (9)
      - И в довесок убедитьсяcat proc sys net ipv4 ip_forwardcat proc sys net ipv4 con, romanegunkov, 21-Апр-20, 22:51 (10)
- Нет там никакой сессии, UDP же Конечный сервер и сервер фильтрации в разных сетя, Licha Morada, 21-Апр-20, 23:01 (12) //
  - Давно это было, может я и забыл какие-то нюансы Но, кажется, может зависеть от , romanegunkov, 21-Апр-20, 23:21 (13) //
    - gt оверквотинг удален Да, пока пакет не может еще отправится на конечный серве, WeSTMan, 21-Апр-20, 23:36 (15)
      - gt оверквотинг удален Дропы на tx, это не значит что не может отправиться, это, romanegunkov, 22-Апр-20, 00:20 (19)
        
        gt оверквотинг удален Выше приложил вывод iptables, посмотрите, пожалуйста, WeSTMan, 22-Апр-20, 00:25 (20)
        
        gt оверквотинг удален Я к тому что для начала просто установить ip связность о, romanegunkov, 22-Апр-20, 00:44 (22)
        
        gt оверквотинг удален Может поднять VPN И через него трафик гонять , WeSTMan, 22-Апр-20, 08:22 (27)
        
        gt оверквотинг удален Можно, конечно Реализация несложная, можно разные вариа, romanegunkov, 22-Апр-20, 11:19 (28)
        
        gt оверквотинг удален Сделал VPN, все заработало Только приложение критично к, WeSTMan, 22-Апр-20, 11:33 (29)
Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке У , dmitriygessus, 24-Май-20, 23:36 (33)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру