https://slinkov.ru/openforum/vsluhforumID1/88674.html Здравствуйте,<br><br>Обнаружил некоторое малое количество пакетов, проходящих NAT без изменений SRC-адреса.<br><br>Другими словами, я настраиваю NAT:<br>[code]iptables -A POSTROUTING -s 192.168.1.0/24 \! -d 192.168.0.0/16 -j SNAT --to-source 22.33.44.55[/code]<br>где:<br>eth0 ( 22.33.44.55 ) - Интернет<br>eth1 ( 192.168.1.254 ) - Локалка<br><br>затем просматриваю, что получилось:<br>[code]tcpdump -i eth0 -ne 'net 192.168.1.0/24'[/code]<br><br>В общем-то всё работает, локалка получает интернет... в основном; однако иногда наблюдаю по непонятным причинам незаначеные пакеты, где SRC из 192.168.1.0/24, а DST где-то в интернете. При чём эти пакеты можно наблюдать и с другой стороны кабеля на следующем роутере (пусть он будет 22.33.44.54 для определённости).<br><br>Заранее благодарен за любую помощь,<br><br>Игорь<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#12 Mon, 12 Apr 2010 09:32:03 GMT &gt;где то встречал что если у пакета статус INVALID, то через таблицу <br>&gt;nat он не проходил <br><br>я встречал, что такие отбрасываются в PREROUTING в -t nat, однако...<br>[code]-s 192.168.0.0/16 -m state --state INVALID -j DROP[/code]<br>полностью решило проблему, спасибо<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#11 Fri, 09 Apr 2010 20:35:47 GMT &gt;&gt;подсеть под правило не попадает, и вообще откуда эти пакеты на вашем <br>&gt;&gt;интерфейсе <br>&gt;<br>&gt;подсеть за вторым роутером, это с него; такую подозрительную работу ната наблюдаю <br>&gt;не на единственном роутере <br><br>где то встречал что если у пакета статус INVALID, то через таблицу nat он не проходил<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#10 Fri, 09 Apr 2010 19:57:59 GMT &gt;подсеть под правило не попадает, и вообще откуда эти пакеты на вашем <br>&gt;интерфейсе <br><br>подсеть за вторым роутером, это с него; такую подозрительную работу ната наблюдаю не на единственном роутере<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#9 Fri, 09 Apr 2010 19:46:35 GMT &gt;[оверквотинг удален]<br>&gt;IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>&gt;IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>&gt;IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>&gt;IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>&gt;IP 192.168.141.4.50226 &gt; 74.125.77.19.443: R 1:1(0) ack 1 win 0<br>&gt;<br>&gt;только сейчас заметил одну закономерность, что в TCP всегда установлен флажок FIN <br>&gt;или RST, как в этом дампе; может какой специальный фокус от <br>&gt;conntrack? <br>&gt;UDP пока не видно, но сейчас пятница вечер и трафик слабоват <br><br>подсеть под правило не попадает, и вообще откуда эти пакеты на вашем интерфейсе <br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#8 Fri, 09 Apr 2010 18:21:45 GMT &gt;только сейчас заметил одну закономерность, что в TCP всегда установлен флажок FIN <br>&gt;или RST, как в этом дампе; может какой специальный фокус от <br>&gt;conntrack? <br><br>сделал 'conntrack -F', и такие вот "с флагом FIN" сразу поползли кучей<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#7 Fri, 09 Apr 2010 17:53:08 GMT &gt;если все равно будут пакеты без нат, покажите вывод tcpdump <br><br>кажется наиболее показательный дамп:<br><br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 253979169:253979169(0) ack 3081852170 win 16445<br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: F 0:0(0) ack 1 win 16445<br>IP 192.168.141.4.50226 &gt; 74.125.77.19.443: R 1:1(0) ack 1 win 0<br><br>только сейчас заметил одну закономерность, что в TCP всегда установлен флажок FIN или RST, как в этом дампе; может какой специальный фокус от conntrack?<br>UDP пока не видно, но сейчас пятница вечер и трафик слабоват<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#6 Fri, 09 Apr 2010 17:28:00 GMT &gt;за eth0 есть кто-то из 192.168.0.0/16 ? <br>&gt;то что будет уходить с eth1 не будет затронуто. <br><br>разумеется, 192.168.2.0, 192.168.3.0 и т.д.<br><br>&gt;во всяком случае попробуйте изменить и проверьте, потом вернете. <br>&gt;если все равно будут пакеты без нат, покажите вывод tcpdump <br><br>этих "проскакивающих" пакетов где-нить 0.01% всего потока, не хотелось бы приостанавливать работу роутера из-за такой мелочи, которую никто кроме меня не замечает<br><br>[quote]# tcpdump -i eth0 -tnc1 'net 192.168.0.0/16'<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes<br>IP 192.168.1.161.1102 &gt; 92.6.208.230.49967: FP 439989288:439989356(68) ack 3783218881 win 65535[/quote]<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#5 Fri, 09 Apr 2010 17:00:46 GMT &gt;&gt;а если попробовать именить на <br>&gt;&gt;iptables -t nat -I POSTROUTING -o eth0 -j SNAT --to-source 22.33.44.55 <br>&gt;<br>&gt;внутрисетевой обмен всё же необходимо оставить <br>&gt;<br>&gt;&gt;какие еще подсети кроме 192.168.1.0/24 есть? <br>&gt;<br>&gt;за этим роутером только одна эта <br><br>за eth0 есть кто-то из 192.168.0.0/16 ?<br>то что будет уходить с eth1 не будет затронуто.<br><br>во всяком случае попробуйте изменить и проверьте, потом вернете.<br>если все равно будут пакеты без нат, покажите вывод tcpdump<br> https://slinkov.ru/openforum/vsluhforumID1/88674.html#4 Fri, 09 Apr 2010 16:44:46 GMT &gt;а если попробовать именить на <br>&gt;iptables -t nat -I POSTROUTING -o eth0 -j SNAT --to-source 22.33.44.55 <br><br>внутрисетевой обмен всё же необходимо оставить<br><br>&gt;какие еще подсети кроме 192.168.1.0/24 есть? <br><br>за этим роутером только одна эта<br>