Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Dmitrij Lystsov                      2:5020/400     08 Dec 2005  14:58:58
 To : Eugene Grosbein
 Subject : Re: Скоро начну материться!
 -------------------------------------------------------------------------------- 
 
 >  DL> Команда FWD может и меняет адрес следуюшуего хопа, но выбрать интерфейс, 
 >  DL> вернее изменить его оне не может.
 >  DL> Поправьте меня, если я не прав.
 >  DL> Я с этим тра...лся две недели.
 > 
 > Это верно, не может. Hо только если она срабатывает на том этапе,
 > когда исходящий интерфейс уже зафиксирован. Для транзитных пакетов
 > получается минимум два прохода по списку правил ipfw, и на первом
 > из них исходящий интерфейс для пакета еще не фиксирован.
 > 
 > Правило ipfw fwd при этом установит next-hop, по которому и будет
 > выбран исходящий интерфейс, а второй проход по списку правил ipfw
 > для такого пакета вообще отменяется.
 > 
 > Слово "out" в правиле определяет, что правило применяется только
 > на втором проходе. А тогда менять интерфейс уже поздно.
 
 Я все понял.
 Задача разделить ИСХОДЯЩИЙ трафик САМОГО сервера - задача заведомо 
 обреченая на провал. Почему? Да потому что все исходящие пакеты - они 
 исходящие от имени адреса седящего на ВТОРОМ интерфейсе, а дефаулт - 
 находиться в сети доступ в которую только через ПЕРВЫЙ интерфейс.
 Проходя наружу сначала берется таблица маршрутизации, от туда мы и 
 получаем интерфейс ПЕРВЫЙ, А затем меняем правилом FWD следующий хоп - в 
 итоге получаем комбинацию ПЕРВЫЙ интерфейс + следующий хоп, на который 
 можно попасть только черех ВТОРОЙ интерфейс. Итого - затык, поскольку 
 пакет идет ОТ СЕРВЕРА и заведомо пройдет правила IPFW только ОДИH раз!
 
 Другое дело когда пакеты проходят через сервер - здесь применяется NTP + 
 FWD, когда в соответствии с адресом подмены на первом прохождениии 
 определяется интерфейс, а потом при втором прохождении подменяется 
 следующий хоп. Вот.
 
 Hо я то эксперементировал для случая, когда через сервер транзитом 
 пакеты не проходят - он сам является источником пакетов.
 
 Правда под воздействием этих экспериментов я подумал и решил разделить 
 интерфейсы по принципу: ПЕРВЫЙ на входящие соединения, ВТОРОЙ - на 
 исходящие соединения.
 
 -- 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5.3
  * Origin: Talk.Mail.Ru (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: Скоро начну материться!   Dmitrij Lystsov   08 Dec 2005 14:58:58 
 Re: Скоро начну материться!   Gleb Smirnoff   08 Dec 2005 18:46:48 
 Re: Скоро начну материться!   Michael Lednev   09 Dec 2005 10:21:13 
Архивное /ru.unix.bsd/648823d09b22.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional