Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Auster                               2:5020/400     11 Sep 2006  17:47:49
 To : Eugene Grosbein
 Subject : Re: ipsec & tcp connection stalled
 -------------------------------------------------------------------------------- 
 
 Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:
  
 >> - пока единственный вариант как мне удалось заставить исходящий пакет
 >> пройтись дважды через ipsec - это ipfw-ый диверт (причем как в 4ке так и в
 >> 6ке)
 > Просто скажи - КАК ты это вычислил??
 > 
 
    довольно просто:
  когда уже стало надоело пробовать с 99.9% точностью сэммулировать твой вариант,
  и когда уже стало ясно что у тебя есть какойто хук в нормальном прохождении
 пакетов,
  и информации с контекста всетаки было мало, о том что тобой все таки сооружено,
  - покопался здесьже чем ты недавно интересовался - нашел тред с дивертами
  через ipacctd/ng_ipacct - добавил к томучто было и.. получил копейка в копейку
  твою проблему, о чем сюда же и сообщил :).
 > Да, это оно. Если пропускать трафик через divert (для подсчета в ipacctd),
 > то трафик дважды заворачивается в ESP и в таком виде уходит в сеть.
 > Hепонятно, как он там вообще разворачивается.
 >
 
   могу предположить что декодируется рекурсивно пока видит esp в заголовке,
   но это только необоснованная догадка. - необходимо проверять и не раз,
   но уже насегодня хватит тестов и перепроверок.
 > Тут http://freebsd.rambler.ru/bsdmail/freebsd-net_2004/msg01736.html
 > лежит результат моего копания в стеке четверки два года назад,
 > когда обнаружилось, что при передаче пакета через divert теряются
 > multicast options, прикрепленные к нему, в результате чего мультикастный
 > пакет RIPv2, к примеру, теряет свой интерфейс назначения и в итоге
 > уходит не в свой интерфейс, а туда, куда указывает маршрут на 224.0.0.9
 > в таблице роутинга. Может, кроме ip multicast options еще что-то теряется?..
 >
 
   познавательно.
   заодно, кстати, еще сообщу - по ходу ковыряния выяснил с IPSEC_FILTERGIF
 следуещее:
   похоже что по разному воздействует в 4ке и 6ке на исходящие пакеты по ipfw
 рулесетам
   (смотрел в варианте с ipsec в режиме транспорта)
   и весьма похоже что и там также возможно в некоторых случаях отстрелить себе
 ногу. :)
 -- 
 Auster Vl.
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: ipsec & tcp connection stalled   Auster   11 Sep 2006 17:47:49 
Архивное /ru.unix.bsd/32932f978311.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional