|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Igor Zemliansky 2:5020/400 18 Mar 2006 21:28:15
To : Igor Zemliansky
Subject : Re: Может PBR ли работать без NAT?
--------------------------------------------------------------------------------
Hello, Igor!
You wrote to All on Fri, 17 Mar 2006 08:57:34 +0000 (UTC):
IZ> В документации описывается метод создания PBR на базе заворачивания
IZ> пакетов в NAT. А как быть, когда за PBR сервером есть еще пяток маши
IZ> с реальными адресами и сетевыми службами на них? А как быть, если
IZ> для одного из каналов
IZ> PBR сервер является мостом? Со вторым каналом немного проще - там на
IZ> конце один единственный адрес.
Вот было сказано, что принципиальных отличий нет. Пока проверил схему только
для одной машины - PBR сервера. Сначала я логично предположил, что раз у
меня разбрасыванием (перенаправлением до нужного мне маршрутизатора) пакетов
знанимается ipfw, то мне не нужен default route. Похоже, что ошибался.
Добавил default route до одного из провайдеров.
Далее провел эксперимент с одной из машин внутри моей сети (за PBR). PBR
сервер пакеты, проходящие через себя видит:
root@acid:mpd# tcpdump -i fxp0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
18:52:22.207497 IP 212.90.yyy.85 > 195.xx.220.103: icmp 64: echo request seq
0
18:52:22.251754 IP 195.xx.220.103 > 212.90.yyy.85: icmp 64: echo reply seq 0
18:52:23.207754 IP 212.90.yyy.85 > 195.xx.220.103: icmp 64: echo request seq
1
18:52:23.243875 IP 195.xx.220.103 > 212.90.yyy.85: icmp 64: echo reply seq 1
но правило (находиться в самом начале списка)
fwd 217.147.161.65 log ip from 212.90.yyy.85 to 195.xx.220.103 out
на них (пакеты) никак не реагирует, счетчик не изменяется. В данный момент
ядро сконфигурировано с поддержкой таких опций:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPFIREWALL_FORWARD
options IPFIREWALL_FORWARD_EXTENDED
options ACCEPT_FILTER_HTTP
options DUMMYNET
options BRIDGE
Может быть необходима дополнительная опция IPSTEALTH в конфигурации ядра?
--------
Best regards. Igor Zemliansky
i.zemliansky(dog)gmail(point)com
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
