Frozen Fido : RU.UNIX.BSD : Re: ipfw + natd глюк (?)

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Oleg Koreshkov                       2:5020/400     21 May 2002  18:41:45
 To : Ivan Voytas
 Subject : Re: ipfw + natd глюк (?)
 --------------------------------------------------------------------------------

 >  OK> РИСУЮ ЕЩЁ РАЗ:
 > Еще раз? Может я чего пропустил?
 
 Видимо пропустил... или это мода такая пошла читать тред с середины?
 
 >
 >  OK> схема:
 >  OK> сеть A ----- 172.16.1.1 [ROUTER] 192.168.1.1 --- сеть B
 >
 >  OK> описываю как идет пакет:
 >
 >  OK> некий хост 172.16.1.2 посылает пакет на адрес 192.168.1.2
 >  OK> так как у хоста 172.16.1.2 есть маршрут в сеть В через рутер
 
 172.16.1.1,
 
 >  OK> пакет приходит на рутер.
 >  OK> на рутере пакет заворачивается в divert
 >  OK> natd переписывает адрес источника в пакете на 192.168.1.1
 >  OK> пакет отправляется к хосту 192.168.1.2 (при этом создается
 
 динамическое
 
 >  OK> правило 192.168.1.1 <-> 192.168.1.2 )
 >
 > Где создается?
 
 allow ip from 192.168.1.1 to any keep-state
 
 > Если ты про вариант с keep-state правилом, то до divert ничего
 > не дойдет,
 
  то что не от 172.16.10.10, то и дойдет.
 
 >если без, то ничего создаваться не будет. Если ты про natd, то там
 > несколько другое правило.
 
 Вот именно.
 
 >
 >
 >  OK> теперь идут различия:
 >  OK> 1. вариант без звездочки (*).
 >  OK> пакет перенаправляется в divert
 >  OK> natd переписывает адрес назначения в пакета на 172.16.1.2
 >  OK> пакет отправляется на 172.16.1.2
 >
 >  OK> 2. вариант со звездочкой (*):
 >  OK> когда пакет доходит до первого правила keep-state (того которого со
 >  OK> звездочкой), происходит проверка динамических правил.
 >  OK> пакет удовлетворяет правилу  192.168.1.1 <-> 192.168.1.2.
 >
 > Hет такого правила. Сделай ipfw show да посмотри.
 
 а вот подумай и догадайся откуда оно берется...
 hint: динамическое (я об этом писал)
 > У тебя есть allow ip from 172.16.10.10 to any keep-state до divert. Причем
 
 тут
 
 > тогда divert вообще?
 
 Hе находишь что несколько разные условия для диверта и для keep-state...
 
 > Ты наверное имеешь в виду, что 192.168.х.х не видит 172.16.х.х. Hу так и
 
 не
 
 > должен. Потому что то, что прописал, то и имеешь.
 
 Это истину я и сам знаю :)
 --- ifmail v.2.15dev5
  * Origin: A LOT OF... (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
ipfw + natd глюк (?)	Oleg Koreshkov	16 May 2002 18:28:31
ipfw + natd глюк (?)	Andrey Ostanovsky	17 May 2002 00:50:57
Re: ipfw + natd глюк (?)	Oleg Koreshkov	17 May 2002 15:26:34
ipfw + natd глюк (?)	Ivan Voytas	18 May 2002 09:24:09
Re: ipfw + natd глюк (?)	Oleg Koreshkov	18 May 2002 14:29:57
ipfw + natd глюк (?)	Ivan Voytas	18 May 2002 16:25:12
Re: ipfw + natd глюк (?)	Oleg Koreshkov	18 May 2002 19:05:03
ipfw + natd глюк (?)	Ivan Voytas	20 May 2002 10:33:26
Re: ipfw + natd глюк (?)	Oleg Koreshkov	20 May 2002 18:11:16
ipfw + natd глюк (?)	Ivan Voytas	21 May 2002 12:59:20
Re: ipfw + natd глюк (?)	Oleg Koreshkov	21 May 2002 18:41:45

Архивное /ru.unix.bsd/91049399c287.html, оценка 1 из 5, голосов 10