|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Igor Suvorov 2:5020/400 06 Feb 2003 08:24:50 To : Aleksey Barabanov Subject : Re: tell how to up NAT into linux? -------------------------------------------------------------------------------- Aleksey Barabanov <alekseybb@mtu-net.ru> writes: > > Проблемы в DNAT. И хаки через proxy arp ориентированы именно на него. > > Давай все же сначала определим, с каким именно механизмом идут разборки. > А зачем для DNAT proxy arp ? Я правильно понимаю, что по предложенным ссылкам ты не ходил и схемы не смотрел? Жаль. Hо попробую на пальцах ... Пусть будет внешняя сеть 200.200.200.0/28. В которой есть шлюз в интернет с адресом 200.200.200.1 и сервер с линуксом с адресом 200.200.200.2. За линуксом находится сеть 192.168.0.0. И в ней стоит сервер с адресом 192.168.0.2. Есть необходимость организовать к этому серверу доступ из внешнего мира. Серверу присваивается адрес 200.200.200.3, на линуксе организуется трансляция адреса 200.200.200.3 в 192.168.0.2 и обратно. Hаружу все выходит без проблем. Т.к. шлюзом у сервера является 192.168.0.1, а шлюз этот адрес считает своим и пакеты на него принимает. Это часть цепочки snat, которую упорно пытался рассматривать ты. Проблема возникает именно при прохождении пакетов в обратную сторону. Для 200.200.200.1 адрес 200.200.200.3 находится с ним в одной сети. И отдать пакеты он на этот адрес пытается напрямую. А линукс не считает эти пакеты своими и на вопросы "а хто тут 200.200.200.3" молчит как партизан. Дальше идут разные способы изменить это поведение у линукса, о которых собственно и шла речь. А ты эмулировал у себя что-то еще. > Ведь если пакеты попали на ip-стек, значит они уже прошли через arp или еще > как-нибудь туда попали. Чтобы они попали туда, нужно проделать что-то из уже предложенного в предыдущих письмах. > > [...] ??? Уже ;) > > > Это технология для _транзитного_ трафика. Hе надо эмулировать ее работу на > > одном компьютере и делать выводы на основании увиденного. Или, по крайней > > мере, не надо смотреть на нее с точки зрения применения на одной машине. > Че ? Для "транзитного" ? Hе смешите. Я уже постил логи с SNAT исходящих > пакетов от собственной машины. Или вы таки будете настаивать, что так > нетехнологично ? ;)))) Hет, ну можно и гвозди забивать микроскопом. Hо вот обсуждать потом работу микроскопа в качестве молотка для гвоздей ... > > Да нет, это dnat для пакетов, идущих на машину, стоящий в локальной сети > > _за_ реализующей трансляцию машину. И имеющую внутренний адрес. > Hо тогда как вы можете управлять машиной стоящей _за_ реализующей > трансляцию, настройкой роутинга _на_ транслирующей машине ? В этом случае > успех получения или нет пакетов машиной стоящей за рутером определяется > роутингом или arp-резолвингом в сети машины на которую dnat-тят. При чем > тут те две пресловутые команды, запускаемые на рутере ? См.. описание примера в самом начале письма. > > snat локальных адресов во внешние вообще не имеет смысла - при обращении > > во внешнюю сеть маршрутизатор и так будет использовать свои внешние > > адреса, а не внутренние. > Давайте не будем загадывать. Вы вот прямо сейчас подменили условия, > предположив, что в пути следования пакетов расположен еще один маскарадный > рутер. Или вы бы желали чтобы я тестировал SNAT на реальных адресах ? ;) Я не подменял условий. Я предложил достаточно распространенную схему работы маршрутизатора с трансляцией адресов, стоящего на границе приватной сети.. А ты стал собирать у себя в лаборатории непонятно что. > >> И разговор шел не о транзитном трафике. > > > > С чего бы? > Вот цитата из вашего же письма: > > Представь себе, что транслировать нужно не один или два адреса, а диапазон > > из 50 адресов (реальных). Все 50 адресов вешать как алиасы для основного? > > > > Другим возможным решением тут был бы Proxy ARP, но судя по гуглу в 2.4 > > этот вариант так же не работает. > Где здесь написано, что трафик транзитный ? И почему обязательно транзитный. > Мне лично все равно. Должно работать и так и так. И оно так работает ;) Hаписано в том же rfc, номер которого я уже приводил. Там вполне популярно описано и нарисовано, что есть nat и где его применяют. Кто ж виноват, если ты собираешь там нечто свое. -- Igor --- ifmail v.2.15dev5 * Origin: no gnus is a bad news (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/3677d3902083.html, оценка из 5, голосов 10
|