|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Vyacheslav Osokin 2:5020/400 06 Oct 2004 09:35:21
To : Eugene B. Berdnikov
Subject : Re: iptables + NAT
--------------------------------------------------------------------------------
Eugene B. Berdnikov wrote:
> Vyacheslav Osokin <slava@parma.ru> wrote:
> VO> Давно знаю об одном глюке iptables при использовании SNAT в таблице
> nat, но VO> ранее удавалось разными путями обходить его стороной. А вот
> теперь обойти VO> не могу, надо решить именно так проблему, иначе ее решит
> вообще не реально VO> получается с помощью iptables. Суть проблемы такая:
> при динамическом VO> изменении в таблице nat цепочки POSTROUTING на таргет
> SNAT на 2-3 шаге VO> правила SNAT перестают работать с установивишимися
> ранее сессиями.
>
> Это не глюк, а фича - цепочки в таблице nat просматриваются ТОЛЬКО для
> пакетов, устанавливающих HОВОЕ соединение. Читайте доки, они рулез.
Да, все это классно, конечно, но ICMP пакеты не имеют статусов
NEW/ESTABLISHED. Поэтому непонятно, почему они все же не попадают в эту
цепочку.
> VO> Hапример. Пингую я с одной машины некий адрес внешний. Согласно
> правилам VO> SNAT выполняется натинг под какой-нибудь IP, пусть это будет
> 192.168.0.1. VO> Пакеты ICMP идут как положено. В какой-то момент времени
> мне надо поменять VO> правила натинга. Даю команду "iptables -F -t nat" и
> затем создаю новое
>
> Зачем -F, когда есть -R ?
Hе суть важно, я и так и так делал.
> VO> правило натинга пусть на SRC 192.168.1.1. Как праивло тут срабатывает
> VO> нормально. ICMP уже натятся под другим IP. Потом появилась
> необходимость VO> поменять натинг обратно на SRC 192.168.0.1,
> предварительно опять же VO> "iptables -F -t nat". И вот тут, как
> правило,возникает такая ситуация, что VO> пакеты ICMP вообще перестают
> натиться и проходят сквозь цепочку POSTROUTING VO> нетронутыми.
>
> Попали между флашем и созданием нового правила, очевидно.
> См. /proc/net/ip_conntrack.
Вопрос - как принудительно сбросить эти соединения из таблицы?
>
> VO> В тоже время, если я запущу какою-нибудь другую новую сессию,
> VO> предположим http, то эти пакеты уже попадают в цепочку POSTROUTING и
> VO> натятся нормально, счетчик SNAT начинает крутиться, но пакеты же ICMP,
> как VO> шли так и продолжают идти без натинга :( .
> VO> Вобщем этот глюк/фичу я не знаю пока как решить или обойти :( Если кто
> решал VO> что либо подобное - откликнитесь, плиз...
>
> Проблемы нет вовсе, IMHO.
Кому как, но для меня она есть.
--
Best regards
Vyacheslav Osokin
Parma Inform Ltd
--- ifmail v.2.15dev5.3
* Origin: Parma Inform Ltd (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
