The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
работа nat в pf, !*! gadzilkin, 22-Дек-10, 09:07  [смотреть все]
Начал разбираться в PF по мануалу на сайте openBsd.org. Насколько я понял, в случае если пакет должен натится, то PF сначала преобразует адресс, а потом уже передает его фильтру. А как же тогда фильтровать пакеты прищедшие из локалки на основе политик разграничения по ip, ведь, насколько я понял, фильтр увидит пакет с уже измененным айпишником, т.е. айпишником шлюза......а как мне тогда сначала решить можно ли этот пакет вообще пропускать,а потом уже натить? Или же пакет сначала проходит правила фильтра входящих пакетов, потом натится, а потом уже передается на фильтр исходящих пакетов?
Ответить | Сообщить модератору
  • работа nat в pf, !*! reader, 10:06 , 22-Дек-10 (1)
    > Начал разбираться в PF по мануалу на сайте openBsd.org. Насколько я понял,
    > в случае если пакет должен натится, то PF сначала преобразует адресс,
    > а потом уже передает его фильтру. А как же тогда фильтровать
    > пакеты прищедшие из локалки на основе политик разграничения по ip, ведь,
    > насколько я понял, фильтр увидит пакет с уже измененным айпишником, т.е.
    > айпишником шлюза......а как мне тогда сначала решить можно ли этот пакет
    > вообще пропускать,а потом уже натить? Или же пакет сначала проходит правила
    > фильтра входящих пакетов, потом натится, а потом уже передается на фильтр
    > исходящих пакетов?

    на внутреннем (входящем) интерфейсе будут оригинальные ip

    Ответить | Сообщить модератору
    • работа nat в pf, !*! gadzilkin, 10:13 , 22-Дек-10 (2)

      > на внутреннем (входящем) интерфейсе будут оригинальные ip

      т.е получается такая схема пакет ---> внутренний интерфейс (проверяются правила фильтрации для этого интерфейса) ---> NAT ---> внешний интерфейс (проверяются правила фильтрации для этого интерфейса)

      правильно я понимаю?

      Ответить | Сообщить модератору
      • работа nat в pf, !*! reader, 11:17 , 22-Дек-10 (3) +1
        >> на внутреннем (входящем) интерфейсе будут оригинальные ip
        > т.е получается такая схема пакет ---> внутренний интерфейс (проверяются правила фильтрации
        > для этого интерфейса) ---> NAT ---> внешний интерфейс (проверяются правила фильтрации
        > для этого интерфейса)
        > правильно я понимаю?

        да.

        внутренний интерфейс фильтр > внешний интерфейс nat > внешний интерфейс фильтр

        Ответить | Сообщить модератору
        • работа nat в pf, !*! gadzilkin, 11:27 , 22-Дек-10 (4)

          > да.
          > внутренний интерфейс фильтр > внешний интерфейс nat > внешний интерфейс фильтр

          Большое спасибо!

          Ответить | Сообщить модератору
        • работа nat в pf, !*! Margulis, 11:59 , 11-Июн-15 (5)
          > внутренний интерфейс фильтр > внешний интерфейс nat > внешний интерфейс фильтр

          Поганая ситуация, кстати. Я не пойму, это баг или фича, но это противоречит ВСЕМ мануалам. Абсолютно везде написано, что правила трансляции срабатывают до правил фильтрации. Мало того, есть специальная указивка для правил трансляции (необязательная) - pass - в этом случае пакет в блок фильтрации вообще не должен попадать! Но и это не работает. Вернее, работает только в отношении фильтрации на исходящем плече.

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру