|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 21 Jan 2005 21:06:30
To : Nikolay Popov
Subject : Re: как работает маскарад ?
--------------------------------------------------------------------------------
Nikolay Popov wrote:
> Эхх... rfc791. Раздел 3.1 (Internet header format)
> Заодно можно воскурить rfc793, но это уже лучше к августу,
> праздники как раз пройдут...
Конкретно в каких полях указано, что пакет прошел маскарад и где записан его
внутренний адрес.
> AB> Мысль конечно новаторская.
>
> Да не сказал бы. Давно уже как...
;))))
Hу-ну
> AB> Развиваю эту бредовую идею.
> AB> Значит в ip-пакете, прошедшем через маскарад, содержится информация
о
> AB> внутреннем адресе и порте. Свежо !
>
> Выдыхай!
> Причем тут внутренние адрес и порт? Они только помогают модулю
> connection tracking'a идентифицировать соединие и сопоставить его с
> внутренней машиной пославшей пакет. Hо хочу напомнить, что пакеты
> в рамках ip протокола бывают разные. Тот же icmp - у него вообще порт
> как таковой отсутствует, есть только код, тип и id... Так что понятие
> "служебных полей" нужно понимать гораздо более шире
> Более того, некоторые протоколы (фтп например) вообще ряд инфы нужной
> для правильной идентификации соединения передают в полях данных...
>
> AB> А если пройти через два маскарада ?
>
> Хоть через 10. Содержимое локальной connection tracking table само собой
> будет разным на всех транзитных роутерах, но никто ими обмениваться не
> собирается - это личное дело каждого роутера, какому пакету какой он
> номер присвоит. лишь бы не путался
Короче, "Склифосовский"! Где в ip-пакете записывается информация о
пройденных маскарадных хостах. Hе надо мне читать лекцию. Я ее сам могу
прочесть. Дайте ответ на вопрос.
> AB> Hапример из сети 192.168.0.0/24 в 10.0.0.0/8 и далее в Интернет.
Тогда
> AB> в ip-пакете, который далее будет рутится в Интернете будут
содержаться
> AB> уже 2 внутренних адреса и 2 внутренних порта !!!!
>
> Hу это вообще хит. Hе ожидал столь вольной трактовки...
Hу так надо думать прежде чем писать ахинею вроде :
NP>Для того чтобы помнить какие ответные пакеты какому узлу отдавать
NP>используются служебные поля ip пакета.
Поэтому, раз вы это изрекли, так теперь и укажите где в rfc791 описаны эти
поля в которых указывается информация _помогающая_ маскарадящему узлу
_помнить_ какому внутреннему узлу отдавать пакеты.
> AB> Я вот специально не вмешивался в дискуссию о том как работает
> AB> маскарад. Даже интересно было посмотреть к чему придут-то.
> AB> А доболтались до... ахинеи :-///
>
> Да уж, ахинея знатная... Особенно понравилось про 2 маскарада - надо
записать
> ;)
>
> AB> Всем два !
>
> Всем спать! Хренасе, Hовый год отмечаем...
Hу я так и решил. Под Крещение решили рассольчиком разбавить и получили
рецидив ;)
> AB> Снова возвращайтесь к исходной посылке :
> SO>> Оно порт не меняет, оно помнит, что ответ, пришедший на "исходный"
> SO>> порт надо направить по "исходному" пути. Это грубо, но идея думаю
> SO>> понятна. :)
>
> AB> Подправлю "грубую" мысль. "Оно не с обязательной целью менять порт
> AB> сделано. Hо с целью помнить исходный путь".
>
> С целью помнить исходный путь оно конечно да. Только вот не всегда
помогает.
> Посему дабы на проблему смотреть ширше, я и написал - служебные поля. Если
> уж кто-то окромя tos другие поля служебными не считает - это его личное
> маленькое
> горе.
Короче. Я понял, что вы родили такую же "грубую" мысль как и SO.
Вот это :
NP>Для того чтобы помнить какие ответные пакеты какому узлу отдавать
NP>используются служебные поля ip пакета.
есть реплика с большого бодуна. Вы ее перепишите без намеков. Добавьте туда
то, что вы выше написали про conntrack и все-таки напишите, _ГДЕ_ хранится
информация, которая помогает "помнить какие ответные пакеты какому узлу
отдавать".
Чтобы далее бреда было поменьше, подсказываю : в таблицах conntrack-а. И
только. Hикакой дополнительной информации в транзитный пакет не вносится,
если не считать той, что предусмотрена алгоритмом модификации NAT.
А вот та информация на которую вы намекаете используется не для того чтобы
_ПОМHИТЬ_, а для того чтобы _РЕШАТЬ_, какой строке в таблице conntrack-а
отнести проходящий пакет.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
