|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vladimir Bobarikin 2:5034/13.1 29 Aug 2007 09:51:41
To : All
Subject : Ipnat и маскировка на двух каналах
--------------------------------------------------------------------------------
Какая-то непонятная ситауция с сабжем.
Есть ротуер, у которого три карточки, две смотрят на разных провайдеров, одна
смотрит в локалку.
Если маскируешь безусловной маскировкой "bimap", все работает нормально, если
через обычный "map" - пакет где-то терятся начинает.
Данные:
bge0: 88.88.88.88/24 второй провайдер (ipfw fwd)
em0: 77.77.77.77/24 первый провайдер (default router)
Файрвол:
ipfw 10 fwd 88.88.88.1 ip from 88.88.88.88 to any
ipfw 20 allow all from any to any
HЕ РАБОТАЕТ структура в ipnat (точнее маскирует, но не отдает данные
пользователю при возврате пакета, словно файр убивает его):
map bge0 from 192.168.0.2/32 ! to 192.168.0.0/24 -> 88.88.88.88/32
map em0 from 192.168.0.2/32 ! to 192.168.0.0/24 -> 88.88.88.88/32
РАБОТАЕТ
bimap bge0 192.168.0.2/32 -> 88.88.88.88/32
bimap em0 192.168.0.2/32 -> 88.88.88.88/32
# если не вписывать строку с em0 в обоих случаях, то пакет вообще не
маскируется, почему-то обязательно нужны обе строки
Дамп нерабочего состояния, внутренний mpd-интерфейс:
# tcpdump -qni ng118 host 194.87.0.50
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng118, link-type NULL (BSD loopback), capture size 96 bytes
18:11:24.492483 IP 192.168.0.2 > 194.87.0.50: ICMP echo request, id 768, seq
24878, length 40
18:11:29.992853 IP 192.168.0.2 > 194.87.0.50: ICMP echo request, id 768, seq
25134, length 40
В то же время делаю дамп на внешней сетевке провайдера 88.88.88.88:
# tcpdump -qni bge0 host 194.87.0.50
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes
18:12:52.500195 IP 88.88.88.88 > 194.87.0.50: ICMP echo request, id 768, seq
28974, length 40
18:12:52.504683 IP 194.87.0.50 > 88.88.88.88: ICMP echo reply, id 768, seq
28974, length 40
Т.е пользователь замаскировался, отправил пинг, пинг вернулся на эту же сетевку
и убился не уйдя к пользователю.
Где он может убится и почему тогда при всех тех же устовиях, правилах,
нормально, без проблем работает bimap? :( Честно говоря, не понимаю, может
кто-нибудь ткнёт носом где покопать?
Hадеюсь, All, мы ещё спишемся.
... Я подумал так, что в голове аж хpустнуло...
--- Озаглавилась весна - топором, успокоилась река - декабрём...
* Origin: ... утро - одиноким выстрелом... (2:5034/13.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Ipnat и маскировка на двух каналах |
Vladimir Bobarikin |
29 Aug 2007 09:51:41 |
|
|
