|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Al Zaharov 2:5005/58.88 05 Sep 2001 09:46:52
To : Aleksey Barabanov
Subject : Re: Masquerading
--------------------------------------------------------------------------------
>> www.other.org:80.. snat, посмотрев, что на его интерфейсе уже занят 1026
>> будет открывать уже с другого порта соединение для второй винды..
> Hу зачем же для 2-х компьютеров указывать только один внешний адрес в
> SNAT ? И даже если это так, т.е. адрес один, так ведь можно более четко
> квалифицировать адрес источника для этого правила, заставив срабатывать
> его только для нужного нам компьютера , а всех остальных отправив через
> обычный маскарад.
не вижу отличий между простым маскарадом и snat'ом. в доке прямо указано,
что использовать простой маскарад следует только тогда, когда нет
статического внешнего айпишника на машине, которая и будет этим маскарадом
заниматься.. но, посмотрев исходники, можно заметить, что его лучше вообще
не трогать, а всегда использовать snat.. хотя как сейчас - не знаю, но во
времена iptables 1.2.2 и ядра 2.4.2 в iptables входил патч, который правил
этот самый маскарад на предмет некорректной работы при условии, что
интерфейс, с которого маскарадим, был опущен, затем поднят, но, паче
чаяния, получил тот-же айпишник.. т.е. он рабочий, если интерфейс *всегда*
получает новый адрес, отличный от предыдущего, иначе - нет..
> Тут можно не продолжать, ибо и вы и я читали
> Linux 2.4 NAT HOWTO. 6.1 Source NAT
> # Change source address to 1.2.3.4, 1.2.3.5 or 1.2.3.6
> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6
> ;)
опять-же, при условии что эти айпишники есть.. (но, я вижу, вы и так
понимаете :)
> А почему собственно я выше написал в вопросительном тоне, так это только
> потому что я всего этого не проверял. И как меня уже приучил ОпенСоурс
> "не верь написанному" ;)
> Hо как я понял по вашему сообщению, если через описанный мною NAT пойдет
> четвертый "адрес" в одновременной сессии, то последний будет уже
> NAT-тится на дефолтно-указанные порты ( >61000 ) какого-то из трех
> адресов.
чуть-чуть дальше в nat-howto:
-- начнем --
Standard NAT Behaviour
The default behaviour is to alter the connection as little as possible,
within the constraints of the rule given by the user. This means we
won't
remap ports unless we have to.
Implicit Source Port Mapping
Even when no NAT is requested for a connection, source port translation
it
may occur implicitly, if another connection has been mapped over the
new
one. Consider the case of masquerading, which it is rather common:
1. A web connection is established by a box 192.1.1.1 from port 1024
to
www.netscape.com port 80.
2. This is masqueraded by the masquerading box to use its source IP
address (1.2.3.4).
3. The masquerading box tries to make a web connection to
www.netscape.com port 80 from 1.2.3.4 (its external interface
address)
port 1024.
^^^^^^^^^^
4. The NAT code will alter the source port of the second connection to
1025, so that the two don't clash.
^^^^^^^^
When this implicit source mapping occurs, ports are divided into three
classes:
* Ports below 512
* Ports between 512 and 1023
* Ports 1024 and above.
A port will never be implicitly mapped into a different class.
-- закончим --
порты я подчеркнул ;)..
зы. вспоминая старый тред не могу не заметить, что существуют dns-туннели,
и несложно накарябать icmp-туннель (еще проще готовый найти, наверное)..
--
wbw, kaiser
--- tin/1.4.4-20000803 ("Vet for the Insane") (UNIX) (Linux/2.4.9 (i686))
* Origin: e-will (2:5005/58.88)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Masquerading |
Al Zaharov |
05 Sep 2001 09:46:52 |
|
|
