форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"потеря пакетов на NAT в DIVERT предугадывающая следующее пра..."

Сообщение от napTu (ok) on 23-Сен-07, 22:34

Кто нибуть может подсказать что тут происходит?: есть такой набор правил: 01502  113   12855 count log ip from 192.168.10.55,172.55.10.55 to any out via tun3 01502    0       0 count log ip from 172.55.10.55 to any out via tun3 01503  113   12855 divert 8866 ip from 192.168.10.55,172.55.10.55 to any out via tun3 01504  113   12855 count log ip from 82.207.115.198 to any out xmit tun3 01506  113   12855 fwd 195.5.5.10 ip from 82.207.115.198 to any out xmit tun3 - в этом случае всё работает прекрасно. Однако, если форвардить на другой интерфейс, то пакеты магическим образом теряются еще на нате, предугадывая адрес форварда: 01502   77   12907 count log ip from 192.168.10.55,172.55.10.55 to any out via tun3 01502    0       0 count log ip from 172.55.10.55 to any out via tun3 01503   77   12907 divert 8866 ip from 192.168.10.55,172.55.10.55 to any out via tun3 01504   53    6918 count log ip from 82.207.115.198 to any out xmit tun3 01505   53    6918 fwd 195.5.5.7 ip from 82.207.115.198 to any out xmit tun3 . Оба интерфейса ppp от одного провайдера и имеют разные шлюзы. Причем во втором случае 195.5.5.7 это родной шлюз интерфейса, от адреса которого НАТится. Однако маршрутом по умолчанию является 195.5.5.10. hst# ifconfig tun0 tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492         inet 82.207.115.198 --> 195.5.5.7 netmask 0xffffffff hst# ifconfig tun3 tun3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492         inet 91.124.19.53 --> 195.5.5.10 netmask 0xffffffff hst# ps -xa | grep nat 2300  ??  Ss    84:22.19 natd -a 82.207.115.198 -p 8866 Подобная конфигурация прекрасно работает на другой машине, но там там шлюз по умолчанию не связан с такими двумя интерфейсами (идет на третий интерфейс).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "потеря пакетов на NAT в DIVERT предугадывающая следующее пра..."

Сообщение от napTu (ok) on 23-Сен-07, 22:44

ну примерно понятно: :) 01502   30    3346 count log ip from 192.168.10.55,172.55.10.55 to any out via tun3 01502    0       0 count log ip from 172.55.10.55 to any out via tun3 01503   30    3346 divert 8866 ip from 192.168.10.55,172.55.10.55 to any out via tun3 01504   23    2603 count log ip from 82.207.115.198 to any out xmit tun3 01504   30    3346 count log ip from 82.207.115.198 to any 01505   23    2603 fwd 195.5.5.7 ip from 82.207.115.198 to any out xmit tun3 давно заметил что если описать проблему в форуме, то можно сразу найти решение :) Походу НАТ почему то сам запихивает в нужный интерфейс, но редко.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "потеря пакетов на NAT в DIVERT предугадывающая следующее пра..."
	Сообщение от YuryD (??) on 24-Сен-07, 08:06
	>ну примерно понятно: :) > >01503   30    3346 divert 8866 ip from >01505   23    2603 fwd 195.5.5.7 ip from >Походу НАТ почему то сам запихивает в нужный интерфейс, но редко. На 5.4 мне пришлось размещать fwd до divert , иначе не ехало в нужный интерфейс
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "потеря пакетов на NAT в DIVERT предугадывающая следующее пра..."
	Сообщение от napTu (??) on 24-Сен-07, 14:45
	> На 5.4 мне пришлось размещать fwd до divert , иначе не >ехало в нужный интерфейс незнаю как на 5.4, а на 4.10 после fwd пакеты более не анализируются в ipfw, да и анализ после divert это уже последний выход из фаервола на внешний интерфейс. По крайней мере я себе так представляю и это подтверждается моим опытом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]