>[оверквотинг удален]
>>> внешнего - DNAT-ятся во внутренний. Это насколько я понимаю (сам тут
>>> чуть более полугода работаю).
>> Всё, что написано про DNAT и SNAT в последнем абзаце - бред.
>> Волшебный мир tcpdump вы так для себя и не открыли. Зря.
> Что-то вы скоры на суд.
> tcpdump выдает подобные вещи
> 22:38:17.771218 IP LAN1_17 > www.yandex.ru: ICMP echo request, id 23845, seq 76,
> length 64
> 22:38:17.772984 IP www.yandex.ru > LAN1_17: ICMP echo reply, id 23845, seq 76,
> length 64 Верно выдает, я и не сомневался. Вы ожидали чего-то другого ?
Так укажите айпи, через ping -I EXT_IP www.yandex.ru , но на той машине, где этот IP есть на интерфейсах, пусть даже на lo. Вот тогда смотрите tcpdump
>> Поскольку вы решили, что вам дадут тупые инструкции, а вы их
>> исполните и всё заработает - то ладно, напишу.
>> Итак, убираем на рутере EXTIP_89 (lo:89 EXTIP_89/32).
>> Прописываем его аналогичнейшим образом на хосте LAN2_91.
>> На рутере который "LAN1_153" исполняем команду ip ro add EXTIP_89/32 via LAN2_91.
> Доступа к настройке железки нету (в таких масштабах)
Я вообще-то говорил про ваш рутер, который линукс. Это же вроде как ваша железка ?
На рутере университета всё правильно, они делают не DNAT а маршрутизацию.
>> Не забываем про магическую команду "rm -rf /". Основное волшебство реализуется именно
>> ей.
> Да-да. Всем советую мне помогло. sudo забыли, чтобы всех покрыть.
ну вы же iptables и маршруты от root делаете, так что в принципе и должно было помочь без sudo )
>> Не забываем посмотреть, как бегают пакеты командой tcpdump -i eth1 или по
>> другим интерфейсам, соответственно с другим параметром -i.
>> Если что-то не работает - пытаемся смотреть на бегущие в окне с
>> tcpdump строчки и одновременно с этим думать - что же они
>> обозначают. Если захочется отладить протокол FTP - вы можете почитать ман
>> tcpdump и узнать, как вывести на экран только нужные пакеты и
>> их содержимое.
> Протокол ftp не работал, потому что железка определяла свой адрес как адрес
> маршрутизатора, а не адрес, который ей предполагался
> (видимо делает это запросом в мир, который говорит ей, с какого адреса пришел запрос).
так не бывает (запрос в мир и прочие фантазии).
А бывает так: исходящее соединение (активного фтп) устанавливается внутренней машинкой к наружней. правила conntrack нет, исходящее соединение на вашем рутере проходит сквозь SNAT а там IP другой, отличающийся от того, на который внешний клиент устанавливал соединение. Может установиться, а может и быть зафильтровано файрволлами.
Либо:
внутренняя машинка говорит, что она открыла порт =) (мне уже смешно).
Внутри протокола фтп она естественно говорит свой айпи , где она этот порт открыла.
По понятным причинам этот айпи глубоко внутренний, но поскольку коннтрекинг отсутствует, то эти данные прилетают на внешнего клиента без изменений, и соединиться на указанный внутренний айпи он никогда не сможет.
Еще раз: разберитесь как работает протокол FTP, и прочие протоколы, которым нужны conntrack.
вы же наверняка не смотрели содержимое пакетов:
"Если захочется отладить протокол FTP - вы можете почитать ман tcpdump и узнать, как вывести на экран только нужные пакеты и их содержимое."
и глубоко ошибаетесь, если смотреть их надо только на вашей системе.
Надо бы еще для общего развития посмотреть, как оно _работает_ (а не только _пытается_).
--------------
Всегда есть два варианта - сделать за кого-то, и научить это сделать. Учитесь.
Вариант для распечатки
(ok) on 05-Июн-12, 16:02 
