https://opennet.me/openforum/vsluhforumID9/7319.html Я пишу серверное приложение (своего рода VPN сервер для роутера с линуксом на борту), читающее IP пакеты от клиентов и посылающих их с помощью IPv4 RAW сокета. <br><br>sockrawip = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);<br><br>struct sockaddr_in sindest;<br>sindest.sin_family = AF_INET;<br>sindest.sin_addr.s_addr = ip_header-&gt;daddr;<br><br>sendto(sockrawip, ip_header, ntohs(ip_header-&gt;tot_len), <br> 0, (struct sockaddr *) &sindest, sizeof (sindest));<br><br>Все работает замечательно для пакетов предназначенных для локальной сети. Но на пакеты посылаемые в интернет я никогда не получаю ответ. Ваиршарк показывает что пакет послан скажем гуглу, но source IP у такого пакета остается прежний (те локальный IP). Судя по всему данные с "сырого" сокета не попадают в цепочку MASQUERADE и следовательно роутер не делает наттинг для них. Прав ли я и как это починить? Заранее спасибо.<br><br><br> https://opennet.me/openforum/vsluhforumID9/7319.html#10 Tue, 22 Apr 2008 17:00:47 GMT &gt; Будучи запущеным на роутере, приложение в состоянии отправлять пакеты с <br>&gt;адреса реального интерфейса и без всяких шаманств с iptables. <br><br>Так я и не говорю что пакеты не отправляются. Очень даже отправляются, только вот исходящий адрес там не совсем верный. Я чуть выше http://www.opennet.ru/openforum/vsluhforumID9/7319.html#7<br>более подробно описал что происходит.<br><br><br> https://opennet.me/openforum/vsluhforumID9/7319.html#9 Tue, 22 Apr 2008 12:55:57 GMT &gt;Есть идеи? <br><br>В этом случае NAT должен выполняться средствами приложения. См. natd из FreeBSD например.<br><br><br> https://opennet.me/openforum/vsluhforumID9/7319.html#8 Tue, 22 Apr 2008 12:50:32 GMT В POSRTOUTING попадают только транзитные пакеты. Локально сгенерированый трафик отправляется в nat.OUTPUT<br><br>Не уверен что для этой цепочки применим SNAT/MASQUERADE, но это и не нужно. Будучи запущеным на роутере, приложение в состоянии отправлять пакеты с адреса реального интерфейса и без всяких шаманств с iptables.<br> https://opennet.me/openforum/vsluhforumID9/7319.html#7 Fri, 18 Apr 2008 11:56:41 GMT &gt;Еще раз, если Вы отправляете пакет с машины, которая подключена непосредственно к <br>&gt;интернету и пытаетесь запихнуть его в цепочку MASQUERADE - то это <br>&gt;глупость. <br><br>Давайте объясню еще раз. Для начала рассмотрим типичню сеть<br>компьютер - ЛАН - роутер - интернет - гугл<br>адрес Х адрес У адрес Г<br><br>Если с компьютера сделать пинг гуглу, то он пошлет пакет ОтХдоГ который попадет на роутер. Роутер (который имеет паблик айпи - адрес У) же в свою очередь пошлет в интернет пакет с адресами вида ОтУдоГ. Гугл получит этот пакет и ответит на адрес У.<br><br>В моем случае, приложение запущенное на роутере получает(как именно и зачем, не суть вопроса) пакет ОтХдоГ и посылает его в сеть с помощю сырого сокета. НО, роутер не заменяет адресХ на адрес У и поэтому в интернет уходит пакет для гугла, но с обратным адресом Х. То есть когда гугл ответит на посланный пинг, ответ удет на адрес типа 192.168.1.10. <br><br>&gt;Если Вы пытаетесь отправить пакет с локальной машины через роутер с MASQ <br>&gt;- для других пакето https://opennet.me/openforum/vsluhforumID9/7319.html#6 Fri, 18 Apr 2008 08:56:02 GMT &gt;&gt;Для чего на машине, которая имеет public ip отправлять пакеты через nat? <br>&gt;<br>&gt;Хмм, а как по вашему роутеры работаю? К коробке с внешним ip <br>&gt;подключены несколько компьютеров = локальная сеть. Любой пакет посланный одним из <br>&gt;этих комптютеров натится роутером, иначе ответный пакет будет послан на локальный <br>&gt;айпи отправителя. Я по большому счету эмулирую этот самый локально подключенный <br>&gt;компьютер с помощью raw сокета. Но к сожалению ответ от гугла <br>&gt;не приходит, следовательно бокс не делает нат для подобных пакетов. <br><br>Еще раз, если Вы отправляете пакет с машины, которая подключена непосредственно к интернету и пытаетесь запихнуть его в цепочку MASQUERADE - то это глупость.<br><br>Если Вы пытаетесь отправить пакет с локальной машины через роутер с MASQ - для других пакетов MASQ работает?<br> https://opennet.me/openforum/vsluhforumID9/7319.html#5 Fri, 18 Apr 2008 08:10:44 GMT &gt;Для чего на машине, которая имеет public ip отправлять пакеты через nat? <br><br>Хмм, а как по вашему роутеры работаю? К коробке с внешним ip подключены несколько компьютеров = локальная сеть. Любой пакет посланный одним из этих комптютеров натится роутером, иначе ответный пакет будет послан на локальный айпи отправителя. Я по большому счету эмулирую этот самый локально подключенный компьютер с помощью raw сокета. Но к сожалению ответ от гугла не приходит, следовательно бокс не делает нат для подобных пакетов.<br><br> https://opennet.me/openforum/vsluhforumID9/7319.html#4 Thu, 17 Apr 2008 13:22:45 GMT &gt;&gt;Скорее всего в правиле ната указан протокол tcp, а вы работаете на уровень ниже. <br>&gt;<br>&gt;Да вроде бы нет, правило для маскарада только одно <br>&gt;<br>&gt;iptables -t nat -A POSTROUTING -j MASQUERADE <br>&gt;<br>&gt;так что по идее и tcp/udp/icmp траффик должен обрабатываться. Скорее всего проблемма <br>&gt;в самом сокете :( <br><br>Для чего на машине, которая имеет public ip отправлять пакеты через nat? <br> https://opennet.me/openforum/vsluhforumID9/7319.html#3 Thu, 17 Apr 2008 11:09:30 GMT &gt;Скорее всего в правиле ната указан протокол tcp, а вы работаете на уровень ниже. <br><br>Да вроде бы нет, правило для маскарада только одно <br><br>iptables -t nat -A POSTROUTING -j MASQUERADE <br><br>так что по идее и tcp/udp/icmp траффик должен обрабатываться. Скорее всего проблемма в самом сокете :(<br> https://opennet.me/openforum/vsluhforumID9/7319.html#2 Wed, 16 Apr 2008 01:39:58 GMT Скорее всего в правиле ната указан протокол tcp, а вы работаете на уровень ниже. Попробуйте убрать критерий протокола -p tcp из правила, ну и специфические для этого протокола условия тоже. Также стоит проверить, что стоит в FORWARD, скорее всего опять таки пускаются только tcp пакеты и только с определенными флагами.<br><br><br>