ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Eugene B. Berdnikov                  2:5020/400     16 Mar 2006  03:08:21
 To : Artem Chuprina
 Subject : Re: source routing
 -------------------------------------------------------------------------------- 
 

 Artem Chuprina <ran+news@ran.pp.ru> wrote:
 
 AC> Eugene B. Berdnikov -> Artem Chuprina  @ Tue, 14 Mar 2006 20:08:10 +0000
 AC> (UTC): 
  MK>>>> Вообще грамотно беспокоиться за свой rp_filter, который на том
  MK>>>> самом правильном интерфейсе.
  AC>>> 
  AC>>> По идее, rp_filter тут ни при чем - приходить-то оно будет на тот же
  AC>>> интерфейс.
 AC> 
  EBB>>  Это неважно. Важно, что этот интерфейс "неправильный" -- подсистема
  EBB>>  маршрутизации думает, что роутинг идёт не в ту сторону, потому что
  EBB>>  возвратные пакеты не маркированы, следовательно, дополнительная таблица
  EBB>>  для них роли не играет.
 AC> 
 AC> А зачем им дополнительная таблица?  Это же обратный пакет, он идет по
 AC> основной.  Проблема с rp_filter будет, если он придет не на тот
 AC> интерфейс, а для этого оригинальный пакет должен уйти с неправильного
 AC> адреса.
 
     ^^^^^^
  Интерфейса.
 
 AC> А он вроде бы уходит с правильного.
 
  Hет. "Правильность" определяется следующим образом: у пакета меняются
  местами src_ip и dst_ip, и полученная сущность прогоняется через route
  lookup. Если полученный в результате такого lookup'а "выходной" интерфейс
  совпадает с тем, на который поступил пакет, по route path validation
  для этого пакета благополучно пройден, и пакет принимается. Если нет -
  то пакет принимается при rp_filter=0 и дропается при rp_filter=1.
 
  И при этом существенно то, что при таком lookup'e дополнительная таблица
  не может быть учтена, потому что у возвратного пакета HЕТ (в общем случае)
  того же самого маркера, который был поставлен исходящему пакету в mangle.
 
  Вот что будет, если маркер поставить принудительно -- это интересно.
 
 AC> Теоретически, SNAT может
 AC> не работать по причине немаркированности обратного пакета, но сколь я
 AC> помню его документацию, правило со SNAT как таковое срабатывает только
 AC> для первого пакета в сеансе (дальше оно уже само), а первый как раз
 AC> маркирован.
 
  Думаю, дело не в SNAT'e: человек пишет, что у него пакеты возвращаются,
  но не проходят через роутер. Если бы SNAT не работал, пакеты имели бы
  внутренний адрес, и при этом (скорее всего ) не возвращались бы на роутер.
  Однако, нетрудно посмотреть, что там в conntrack'e: подозреваю, "assured".
 -- 
  Eugene Berdnikov
 --- ifmail v.2.15dev5.3
  * Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    source routing   Vitaly Boyko   13 Mar 2006 19:18:20   Re: source routing   Artem Chuprina   13 Mar 2006 21:58:50   source routing   Vitaly Boyko   13 Mar 2006 22:47:42   source routing   Michael Kostylev   13 Mar 2006 22:09:00   Re: source routing   Artem Chuprina   14 Mar 2006 00:06:22   Re: source routing   Eugene B. Berdnikov   15 Mar 2006 00:08:10   Re: source routing   Artem Chuprina   15 Mar 2006 02:20:55   Re: source routing   Eugene B. Berdnikov   16 Mar 2006 03:08:21   source routing   Vitaly Boyko   19 Mar 2006 00:34:29   source routing   Vitaly Boyko   13 Mar 2006 23:10:17   source routing   Michael Kostylev   14 Mar 2006 00:56:02   Re: source routing   Alex Korchmar   14 Mar 2006 02:22:03   source routing   Vitaly Boyko   14 Mar 2006 11:06:19   Re: source routing   Alex Korchmar   14 Mar 2006 17:53:50