Всем привет.Иногда складывается ситуация, когда роутеру приходит пакет из интернета с его собственным IP (это роутер с двумя аплинками. иногда пакеты, отправленные через один из аплинков приходят на другой). Роутер не форвардит эти пакеты дальше. Никаких запрещающих правил в фаерволе на этот счет нет. Подскажите, в чем может быть проблема?
Заранее спасибо.
> ... приходит пакет из интернета с его собственным IP
> ... Роутер не форвардит эти пакеты дальше.Тебе в почтовый ящик приходит письмо с твоим адресом.
Вопрос - куда ты его отправишь? :)> иногда пакеты, отправленные через один из аплинков приходят на другой
Тут народ только мечтает о таком, схемы аццкие строит, ядра патчат...
а оно,... уже есть и нахаляву.
> Тебе в почтовый ящик приходит письмо с твоим адресом.
> Вопрос - куда ты его отправишь? :)Элементарно, Ватсон.
- посмотрю конечный адрес на конверте
- удостоверюсь, что адрес не мой
- посмотрю в таблице маршрутов, в какой интерфейс отправлять письма с такими адресами
- брошу письмо в этот интерфейс и забуду про него
>> Тебе в почтовый ящик приходит письмо с твоим адресом.
>> Вопрос - куда ты его отправишь? :)
> Элементарно, Ватсон.
> - посмотрю конечный адрес на конверте
> - удостоверюсь, что адрес не мой
> - посмотрю в таблице маршрутов, в какой интерфейс отправлять письма с такими
> адресами
> - брошу письмо в этот интерфейс и забуду про него"Тебе в почтовый ящик приходит письмо с ТВОИМ адресом."
> Всем привет.
> Иногда складывается ситуация, когда роутеру приходит пакет из интернета с его собственным
> IP (это роутер с двумя аплинками. иногда пакеты, отправленные через один
> из аплинков приходят на другой). Роутер не форвардит эти пакеты дальше.
> Никаких запрещающих правил в фаерволе на этот счет нет. Подскажите, в
> чем может быть проблема?
> Заранее спасибо.Вы гоните.
1) Если "собственный айпи" это SRC пакета - то то, что пакет пришел с аплинка - это бред. Как может пакет, отправленный через один из аплинков, спуститься _через интернет_ на другой аплинк? Может быть стоит что-то на маршрутизаторе докрутить, чтобы эти пакеты _внутри_ маршрутизатора прошли, _без_ участия "интернета".
2) Если "собственный айпи" это DST, то какой такой прикол роутеру куда-то его форвардить, пакет уже достиг назначения.
Или у вас вся сеть так "интересно" построена?
> Как может пакет, отправленный через один из аплинков, спуститься _через интернет_ на другой аплинк?Может, может, только это тема не этого уровня.
>> Как может пакет, отправленный через один из аплинков, спуститься _через интернет_ на другой аплинк?
> Может, может, только это тема не этого уровня.Без BGP и своей автономки (т.е. в схеме 2 провайдера + дефолт раут) не может.
> Или у вас вся сеть так "интересно" построена?Не гоню. Построена "интересно". Есть линукс-роутер. За ним - сеть с серыми IP. Есть 2 аплинка. С одним из них устанавливаю соединение по pppoe (внешний IP сконфигурирован на ppp-интерфейсе самого линукс-роутера, линукс-роутер натит). Второй аплинк - adsl-роутер (внешний IP cконфигурирован в этом роутере, adsl-роутер натит и форвардит некоторые порты).
У линукс-роутера, соответственно две таблицы маршрутизации. С помощью ip rule, указываем, куда какой IP из серой lan-сети должен уходить.
Итак, от одной из машин в lan уходит пакет с dst ip = внешний IP adsl-я, натится (следим за руками: src ip машины в lan заменяется на внешний ip ppp-интерфейса) на линукс-роутере и уходит через ppp-интерфейс (согласно установленному ip rule для этой машины) в интернет. Через несколько хопов этот пакет приймет мой adsl-роутер, и согласно сконфигурированному маршруту, перешлет его линукс-роутеру. Линукс-роутер не пропускает пакет дальше (хотя конечный получатель не он).
> Итак, от одной из машин в lan уходит пакет с dst ip
> = внешний IP adsl-я, натится (следим за руками: src ip машины
> в lan заменяется на внешний ip ppp-интерфейса) на линукс-роутере и уходит
> через ppp-интерфейс (согласно установленному ip rule для этой машины) в интернет.
> Через несколько хопов этот пакет приймет мой adsl-роутер, и согласно сконфигурированному
> маршруту, перешлет его линукс-роутеру. Линукс-роутер не пропускает пакет дальше (хотя
> конечный получатель не он).Тут написано как вы думаете, но оно так не работает, в смысле и не будет.
>[оверквотинг удален]
> adsl-роутер натит и форвардит некоторые порты).
> У линукс-роутера, соответственно две таблицы маршрутизации. С помощью ip rule, указываем,
> куда какой IP из серой lan-сети должен уходить.
> Итак, от одной из машин в lan уходит пакет с dst ip
> = внешний IP adsl-я, натится (следим за руками: src ip машины
> в lan заменяется на внешний ip ppp-интерфейса) на линукс-роутере и уходит
> через ppp-интерфейс (согласно установленному ip rule для этой машины) в интернет.
> Через несколько хопов этот пакет приймет мой adsl-роутер, и согласно сконфигурированному
> маршруту, перешлет его линукс-роутеру. Линукс-роутер не пропускает пакет дальше (хотя
> конечный получатель не он).Давайте в абсолютных адресах, со схемой сети и указанием точек и правил трансляции.
Как вы убеждаетесь в том, что "Линукс-роутер не пропускает пакет дальше" ?
> Всем привет.
> Иногда складывается ситуация, когда роутеру приходит пакет из интернета с его собственным
> IP (это роутер с двумя аплинками. иногда пакеты, отправленные через один
> из аплинков приходят на другой). Роутер не форвардит эти пакеты дальше.
> Никаких запрещающих правил в фаерволе на этот счет нет. Подскажите, в
> чем может быть проблема?
> Заранее спасибо.
>> Всем привет.
>> Иногда складывается ситуация, когда роутеру приходит пакет из интернета с его собственным
>> IP (это роутер с двумя аплинками. иногда пакеты, отправленные через один
>> из аплинков приходят на другой). Роутер не форвардит эти пакеты дальше.
>> Никаких запрещающих правил в фаерволе на этот счет нет. Подскажите, в
>> чем может быть проблема?
>> Заранее спасибо.
> http://www.opennet.me/base/net/rp_filter_trouble.txt.htmlrp_filter=0 для всех интерфейсов.
> Всем привет.
> Иногда складывается ситуация, когда роутеру приходит пакет из интернета с его собственным
> IP (это роутер с двумя аплинками. иногда пакеты, отправленные через один
> из аплинков приходят на другой). Роутер не форвардит эти пакеты дальше.
> Никаких запрещающих правил в фаерволе на этот счет нет. Подскажите, в
> чем может быть проблема?
> Заранее спасибо.Я практически уверен, что если нарисовать хорошую схему с адресами, трансляцией (в общем, весь flow проблемного пакета) Вам станет понятно, что не работает, еще до того, как это подскажут тут. А если вдруг не - выкладывайте сюда.
> Вам станет понятно, что не работаетОн хочет пробиться через NAT из интернета.
Но гадкий: "Линукс-роутер не пропускает пакет дальше (хотя конечный получатель не он)."