OpenForum RSS: Xen + bridge + iptables SNAT = грабли https://www.opennet.ru/openforum/vsluhforumID1/77171.html Добрый день.<br><br>схема интерфейсов:http://img107.imageshack.us/my.php?image=schemebu0.jpg<br>Для создания моста(xenbr1) и использовался скрипт, который идет в поставке с xen - networking-bridge.<br>Нат на интерфейсе eth1 настроен при помощи iptables -t nat -A POSTROUTING -o eth0 -J SNAT --to-source $EXTERNAL_IP<br><br>на виртуальной машине и машин из local network default gateway 192.168.10.1<br>В результате имеем следующее:<br>1.из local network имеем доступ на Dom0, DomU и Internet;<br>2.из DomU доступ в local network и Dom0.<br>Проблема появляется с доступом из DomU в интернет, симптомы такие:<br>1. ICMP работает нормально, т.е. ping в интернет по IP проходит без проблем,<br>2. tcp/udp пакеты не проходят.<br>Попробовал изучить проблему при помощи tcpdump(на интерфейсах eth0 и vif1.0):<br>отправляется dns запрос<br>1. на vif1.0 192.168.10.2 -&gt; dns_server_ip:domain<br>2. на eth0 $EXTERNAL_IP -&gt; dns_server_ip:domain (видим, что нат отработал)<br>3. на eth0 dns_server_ip:domain -&gt; $EXTERNAL_IP <br>4. на vif1.0 глухо ((((<br><br>собственно вот и Xen + bridge + iptables SNAT = грабли (agentsmith) https://www.opennet.ru/openforum/vsluhforumID1/77171.html#1 Mon, 05 Nov 2007 20:08:22 GMT Я продолжил расследование и выяснил следующее:<br>при попытке подсоежинится по ssh получается следующее<br>1071.945020MY_IPSSH_HOST_IPTCP58890 &gt; ssh [SYN] Seq=0 Len=0 MSS=1460 TSV=456473 TSER=0 WS=5<br>1081.945936MY_IPSSH_HOST_IPTCPssh &gt; 58890 [SYN, ACK] Seq=0 Ack=1 Win=131070 Len=0 MSS=1460 WS=1 TSV=7519155 TSER=456473<br>1091.948491MY_IPSSH_HOST_IPTCP58890 &gt; ssh [ACK] Seq=1 Ack=1 Win=5856 Len=0 TSV=456474 TSER=7519155<br>1101.968002MY_IPSSH_HOST_IPSSHv2Server Protocol: SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110<br>1111.968476MY_IPSSH_HOST_IPTCP58890 &gt; ssh [ACK] Seq=1 Ack=40 Win=5856 Len=0 TSV=456479 TSER=7519177<br>1121.968489MY_IPSSH_HOST_IPSSHClient Protocol: SSH-2.0-OpenSSH_4.7<br>(тут wireshark пишет)<br>Checksum: 0x2688 [incorrect, should be 0xe39d (maybe caused by "TCP checksum offload"?)]<br>далее идут пакеты <br>1132.169370MY_IP SSH_HOST_IPSSHv2[TCP Retransmission] Client: Unknown (46)[Unreassembled Packet [incorrect TCP checksum]]<br>1182.577401MY_IPSSH_HOST_IPSSHv2[TCP Retransmission]