Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Kirill Nuzhdin                       2:5020/400     06 May 2006  16:48:55
 To : All
 Subject : вопрос по правилам pf
 -------------------------------------------------------------------------------- 
 
 Подскажите, кто пользовался pf -
 
 pf.conf(5):
 
 "Since translation occurs before filtering the filter engine will see packets as
 they look after any addresses and ports have been translated."
 
 из последнего примера, приведенного на странице
 http://www.openbsd.org/faq/pf/rdr.html однозначно следует (чего я так и не смог
 найти в pf.conf(5)), что правило трансляции rdr работает абсолютно аналогично
 правилу nat, только переписывает не src-addr, а dst-addr соединения (у ответного
 пакета переписывается обратно)
 
 так вот ситуация совсем не понятная: есть правила (IP_MS_ext1 - IP address
 интерфейса ext_if1 и т.п.)
 
 rdr on $ext_if1 proto tcp from any to $IP_MS_ext1 port 25  -> $IP_J_m port 25
 rdr on $ext_if0 proto tcp from any to $IP_MS_ext0 port 25  -> $IP_J_m port 25
 <...>
 pass in on $ext_if0 reply-to ( $ext_if0 $default_gw ) proto tcp from any to
 $IP_J_m port 25 keep state
 pass in on $ext_if1 reply-to ( $ext_if1 $default_gw ) proto tcp from any to
 $IP_J_m port 25 keep state
 <...>
 pass out log on $ext_if_all route-to ( $ext_if0 $default_gw ) from $IP_MS_ext0
 to any keep state
 pass out log on $ext_if_all route-to ( $ext_if1 $default_gw ) from $IP_MS_ext1
 to any keep state
 
 так вот коннект на $IP_MS_ext1:25 не проходит, если нет правила
 pass out log on $ext_if_all route-to ( $ext_if1 $default_gw ) from $IP_J_m to
 any
 
 в логи при коннекте падает:
 rule 183/0(match): pass out on $ext_if0: $IP_J_m > $EXTERNAL_CLIENT_IP: [|tcp]
 
 если делать tcpdump, то он выдает (причем пакет вышел через $ext_if1):
 16:20:13.828060 IP $IP_MS_ext1.25 > $EXTERNAL_CLIENT_IP.58424: S
 1882775205:1882775205(0) ack 1381723143 win 65535 <mss 1440,nop,wscale
 1,nop,nop,timestamp[|tcp]>
 То есть правила фильтрации видят пакет до вычисления правила трансляции rdr.
 В чем я ошибаюсь?
 
 -- 
 Best regards,
 Kirill Nuzhdin
 --- ifmail v.2.15dev5.3
  * Origin: MSU (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 вопрос по правилам pf   Kirill Nuzhdin   06 May 2006 16:48:55 
 Re: вопрос по правилам pf   Kirill Nuzhdin   12 May 2006 19:40:56 
 Re: вопрос по правилам pf   Vadim Goncharov   12 May 2006 20:50:10 
 Re: вопрос по правилам pf   Kirill Nuzhdin   12 May 2006 23:19:59 
 вопрос по правилам pf   Nikita Gora   13 May 2006 00:44:20 
 Re: вопрос по правилам pf   Kirill Nuzhdin   13 May 2006 12:43:53 
Архивное /ru.unix.bsd/6577c910203a.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional