URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39334
[ Назад ]

Исходное сообщение
"ipfw"
Отправлено A Clockwork Orange , 14-Янв-04 13:23

Интересная вещь.
пакет может проваряться на входе на интерфейс in recv if
пакет может проверяться при передаче на другой интерфейс out recv if
пакет может проверяться при покидании интерфейс out xmit if
1. если при использовании с divert natd поставить логирование пакетов на out recv if на внешнем интерфейсе , в логе регистрируются эти пакеты как покидающие внутренний интерфейс out via iif.
2. если поставить на внешний интерфейс вести проверку via if, то получается что пакет проверяется на внешнем интерфейсе дважды как на
in recv и после natd (когда появляются фейковые адреса в адресах назначения) на out recv.
Получается что при natd пакет проверяется на одном интерфейсе дважды.
Где я не прав?

Содержание

ipfw,YuryD, 13:42 , 14-Янв-04
- ipfw,A Clockwork Orange, 13:45 , 14-Янв-04
  - ipfw,YuryD, 14:12 , 14-Янв-04
    - ipfw,A Clockwork Orange, 14:14 , 14-Янв-04
      - ipfw,YuryD, 14:49 , 14-Янв-04
        
        ipfw,A Clockwork Orange, 15:11 , 14-Янв-04
        
        ipfw,YuryD, 15:24 , 14-Янв-04
        
        ipfw,YuryD, 15:25 , 14-Янв-04
        
        ipfw,A Clockwork Orange, 15:47 , 14-Янв-04

Сообщения в этом обсуждении

"ipfw"
Отправлено YuryD , 14-Янв-04 13:42

>Получается что при natd пакет проверяется на одном интерфейсе дважды.
>
>Где я не прав?
Прав, попробуй правило count с указанием и без указания via if,
и получишь удвоенный траффик....

"ipfw"
Отправлено A Clockwork Orange , 14-Янв-04 13:45

значит если писать via if то пакеты будут на if проверяться трижды?!
Так?

"ipfw"
Отправлено YuryD , 14-Янв-04 14:12

>значит если писать via if то пакеты будут на if проверяться трижды?!
>
Нет

"ipfw"
Отправлено A Clockwork Orange , 14-Янв-04 14:14

Почему же
in recv if
out recv if
out xmit if
все вместе есть via if

"ipfw"
Отправлено YuryD , 14-Янв-04 14:49

>Почему же
>in recv if
>out recv if
>out xmit if
>
>все вместе есть via if
все правильно, когда адреса пишешь from any to any
в случае from any to fake_ip via natd_if все правильно.
В случае from any to real_ip (марщрутизация реальных ip) == удвоение
from any to real_ip via iif(или oif) =все верно

При использовании divert можно наблюдать такой тип траффика
internet_ip->natd_ip
natd_ip->fake_ip

И internet_ip->fake_ip

проверено trafd

"ipfw"
Отправлено A Clockwork Orange , 14-Янв-04 15:11

>>Почему же
>>in recv if
>>out recv if
>>out xmit if
>>
>>все вместе есть via if
>
> все правильно, когда адреса пишешь from any to any
Имеено это я имел ввиду from any to any
> в случае from any to fake_ip via natd_if все правильно.
>
> В случае from any to real_ip (марщрутизация реальных ip) == удвоение
>
> from any to real_ip via iif(или oif) =все верно
>
>
>
> При использовании divert можно наблюдать такой тип траффика
>
> internet_ip->natd_ip
Согласен, до того как пакет прошел natd
Пакет помжно проверить как in recv oif
> natd_ip->fake_ip
~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить
>
> И internet_ip->fake_ip
Согласен, после того как пакет прошел natd
Пакет можно проверить как out recv oif
Самое интересное что порядок правил как до divert так и после divert ничего не меняет.
Это касательно oif
(как и out xmit iif)
>
> проверено trafd

"ipfw"
Отправлено YuryD , 14-Янв-04 15:24

>> natd_ip->fake_ip
>~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить

Повесить trafd на оба интерфейса и поглядеть ?

"ipfw"
Отправлено YuryD , 14-Янв-04 15:25

>>> natd_ip->fake_ip
>>~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить
>
> Повесить trafd на оба интерфейса и поглядеть ?

Пардон, не прав был, погорячился .... Нету natd_ip->fake_ip

"ipfw"
Отправлено A Clockwork Orange , 14-Янв-04 15:47

Эти два трафика на внешнем интерфейса?