Архив форумов ЦИТФорума

[TechNoir]

Информация:
=====
ifconfig ed0 inet 2xx.1xx.1xx.161 netmask 255.255.255.248
ifconfig rl0 inet 192.168.1.115 netmask 255.255.255.0
=====
Включена маршрутизация!
=====
Накручен FireWall:

00400 divert 8668 ip from any to any via ed0
00500 allow ip from any to any
=====
Все натится без проблем (проверил!)
=====
Собственно непонятка в следующем:

Допустим ядро получило пакет:

192.168.1.113.1071 > 2xx.1xx.1xx.162.http
Он зашел через rl0 - ipfw пропустил его (сработало правило 00500).
Ядро, согласно таблице маршрутизации отправляет его на ed0, а там его опять поджидает ipfw, срабатывает правило 00400 и
пакет передается демону natd, далее у пакета уже характеристики:
2xx.1xx.1xx.161.1071 > 2xx.1xx.1xx.162.http.
После такого преобразования, пакет снова проходит FACE-контроль или же отправляется согласно информации в таблице маршрутизации минуя FireWall.

Спасибо за подробный ответ!
_________________
Vive la Russie!

[Dmitry.Karpov http://prof]

Можно добавить правило, запрещающее from 2xx.1xx.1xx.161 to 2xx.1xx.1xx.162 по всем портам и посмотреть, будут ли они проходить. Кроме того, обрати внимание на счетчик пакетов и байтов. сообщаемый командой 'ipfw show' - он позволяет понять, какое правило обрабатывало пакет (разумеется, при этом в сети д.б. тишина, дабы никто не искажал картину своим трафиком).

[TechNoir]

У меня мысль была такая: Любой пакет, проходящий через ed0 отдается на растерзание natd, далее как я уже говорил согласно таблице маршрутизации пакет отправляется на тот же интерфейс. Если бы он бы опять начал проверяться firewall'ом, то опять бы передался natd. Вообщем все это дело зациклилось бы. Дмитрий, согласен?
Вероятнее всего он уходит без контроля.

Но твое правило я тоже проверю.

Странно что ты это не знаешь. Если составлять длинную цепочку правил, то необходимо все это дело хорошо в голове представлять - идет он после ната или не идет через ipfw.

Еще: аббревитура д.б - что означает?
Тишину я организовываю перекрестными патч-кордами. Тогда точно никто не мешает

P.S. Изучаю маршрутизацию по информации с твоего сайта.Полезная информация. Но попадаются ошибки, на что тебе уже указывали другие юзеры - ты когда собираешься ошибки-то исправлять ?

Спасибо!
_________________
Vive la Russie!

[Dmitry.Karpov http://prof]

1) Действительно, недопустимо отдавать NAT-демону уже обработанные пакеты. Но т.к. natd написан теми же людьми, которые пишут ipfw, то natd имеет полное право запихивать отправляемые им пакеты в любое место цепочки, а также сообщать фильтру о том, что дивертить данный пакет не нужно.

2) Зачем представялять, если все и так работает?

PS: Стараюсь исправлять по мере сил и времени.

[Stas_Dragon]

IPFW работает так:
А)допусти есть сеть №1 и сеть №2, сеть №1 присоедина к интрефейсу ed0, а сеть №2 к интерфейсу fxp0.

Б)сеть №1 шлет пакет в сеть №2 схема этого:

--№1--|пакет|-in->|ed0|шлюз|fxp0|--out-|пакет|-->№ 2

теперь когда сеть №2 посылает ответный пакет то схема выглядит так:

--№2--|пакет|-in->|fxp0|шлюз|ed0|--out-|пакет|-->№1

Когда в правиле ipfw Вы пишите типа
allow all from any to any - это значит, что это правило будет ИСТИНА для всех интерфнйсов и для входящиго (in) и для исходящего (out) трафика каждого интерфейса.
Если правило написано так:
allow all from any to any via ed0 - то правило истино для входящего (in)/ исходящего (out) трафика интерфейса ed0.
Если правило написано так:
allow all from any to any via in (или out)ed0 - то правило будет работать для входящего (in) (или исходящего (out))через интрефейс ed0 трафика.