форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"Уточнение работы DNAT(NETMAP)"	+/–
Сообщение от flosisa (ok) on 17-Апр-15, 10:27
Здравствуйте,я хотел уточнить для себя работы DNAT(NETMAP). Вопрос такой, пакет будет пробрасыватся, только если изначальный(исходный) адрес назначения или сеть назначения будет принадлежать тому хосту где фильтрация идет, другими словами говоря, на хосте котором пакет будет DNAT или NETMAP'ится соответственно или необязательно чтобы изначальный адрес назначения соответствовал с адресами шлюза(фильтрующего хоста). Например, адреса шлюза:    1. 192.168.0.1/24    2. 192.168.1.1/24 1. Пакет пришел к шлюзу и в заголовке указано: 192.168.0.6(source) и 192.168.0.1(destination). В таком случаи, понятно пакет пробрасывается на хост допустим 192.168.1.8(можно еще пакет SNAT'ить, ну это сейчас не важно). 2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables не учитывает такой вариант например по инфо. безопасности и будет уничтожат такой пакет, считая что такой пакет не подлежит к DNAT. Может по безопасности это по default отключено и это где-то можно включить при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для себя все это. Заранее всем спасибо! P.S. Я это проверил, но у меня не получилось, может я что-то не правильно делаю или такое нельзя осуществить.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уточнение работы DNAT(NETMAP)"	+/–
Сообщение от pavel_simple (ok) on 17-Апр-15, 11:18
>[оверквотинг удален] > 2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном > пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables > не учитывает такой вариант например по инфо. безопасности и будет уничтожат > такой пакет, считая что такой пакет не подлежит к DNAT. Может > по безопасности это по default отключено и это где-то можно включить > при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для > себя все это. Заранее всем спасибо! > P.S. > Я это проверил, но у меня не получилось, может я что-то не > правильно делаю или такое нельзя осуществить. это-же маршрутизация, какой тут может быть свой/не_свой диапазон ip -- NETMAP'у пофиг что и куда мапить. Если у вас н еробит -- значит вы делаете это неверно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Уточнение работы DNAT(NETMAP)"	+/–
	Сообщение от flosisa (ok) on 18-Апр-15, 11:10
	> это-же маршрутизация, какой тут может быть свой/не_свой диапазон ip -- NETMAP'у пофиг > что и куда мапить. Если у вас н еробит -- значит > вы делаете это неверно.    Спасибо за ответ Mr., я заново попробую, у меня просто не было уверенность что это рабоает, зато тепер уверенность есть, есть на что тратить время. Не был уверенным в себе, потому что в doc'ах не нашел такое, что DNAT'у все равно изначальный dest ip принадлежит ли хосту, где фильтрация идет или нет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема