|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Dmitry Miloserdov 2:5020/400 22 Oct 2003 16:17:15
To : Eugene Grosbein
Subject : Re: ipfw (1)
--------------------------------------------------------------------------------
Hello, Eugene!
You wrote to me on Sun, 19 Oct 2003 18:18:03 +0400:
DM>> Есть. Проблема в том что ip.forwarding сделан для того чтобы сказать
DM>> _ядру_ пробрасывать пакеты или нет.
EG> Исходя из практики, ip.forwarding влияет не исключительно на ядро,
EG> а на сетевую подсистему, что несколько шире.
Да. Действительно. Разочарован. Почему-то был уверен что все несколько
гибче.
DM>> А что когда-то считался? независимые понятия на мой взгляд.
DM>> Просто можно NAT понимать как:
DM>> "замена адресов в пакетах И последующая их отправка" или как
DM>> "замена адресов в пакетах ДЛЯ последующей их отправки".
EG> "замена адресов в пакетах ДЛЯ последующего из угробления" несколько
EG> глупо, поэтому осмысленно реагировать на ip.forwarding, что, кстати,
EG> дает возможность одним рычажком кислород перекрыть.
Имелось в виду что NAT может либо просто заменить адреса и все остальное
оставить ядру либо сам выставить нужный ttl и направить пакет в нужное
русло.
А перекрывать одним рычажком - несомненное преимущество.
Hе сталкивался с ситуацией когда для замены кондиционера гасят все сервера?
;)
DM>> Более того даже именно для форвардинга он не обязателен.
DM>> Для форвардинга пакетов не обязательно применять эту функцию ядра.
DM>> ipfw fwd справится с этим не хуже... Hу ладно не намного хуже.
Ошибался.
EG> Это гораздо хуже. per-client WFQ отвалится и еще много чего.
Все что per-client уже потеряно раз ip заменен.
Что потеряется это возможность иметь несколько внешних интерфейсов
хотя не уверен что такая возможность и сейчас есть.
А чего еще там отвалиться должно?
Я не предлагаю ничего менять в этом natd.
Я только говорил что NAT вполне может работать без форвардинга
причем это можно сделать теми же инструментами что и natd.
Что же касается ip.forwarding'а я сказал что это зло и там где его
можно избежать надо избегать.
Если нужен nat то можешь считать это зло неизбежным.
А если нужно просто на локальный сокет поймать некоторые пакеты
то лучше ловить их на входе вместо того чтобы городить огород
вызванный включением форвардинга. Была уверенность что и
в случае не локального сокета можно обойтись без него, но ошибался.
With best regards, Dmitry Miloserdov. E-mail: dmitry@bis.ru
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: ipfw (1) |
Dmitry Miloserdov |
22 Oct 2003 16:17:15 |
|
|
