Miko27 Опубликовано 30 марта, 2007 Жалоба Поделиться Опубликовано 30 марта, 2007 Схема такая: Есть FireWall eth0 - смотрит в подсеть 10.200.2.0/24 eth1 - смотрит в подсеть 192.168.2.0/24 Включен Masquerading Машина с адресом 192.168.2.3 отправляет пакет машине 10.202.2.5 (допустим на порт 100) и получает ответ. У меня вопрос непростой, но очень меня интересующий - что же происходит с пакетом (его путь) на FireWall и в дебрях IPchains. Попытаюсь описать как я это понимаю, в меру своей неопытности, опытные люди меня поправте или дополните. 1. Пакет уходит с 192.168.2.3 предназначен для 10.202.2.5 2. Т.к. адреса -s (source) и -d (destination) пакета не находятся в одной сетке, то пакет отправляется на gateway (192.168.2.1 - eth1 FireWall). 3. Пакет входит в систему FireWall (определяется как входящий). Пакет входит в систему с интерфейса eth1. 4. Проверяется на CRC и т.д. (все ОК). 5. Во входной цепочке (Input) есть правило разрешающее прохождение этого пакета. 6. Пакет поадает в цепочку продвижения (Forward) и там для него правило маскарадинга. 7. Пакет попадает в выходную цепочку (Output), т.к. становится исходящим из системы (Цепочка его пропускает). 8. Пакет уходит через eth0 в подсеть 10.200.2.0/24 9. 10.202.2.5 получает пакет. Отвечает. 10.Пакет идет с 10.202.2.5 на FireWall и становится входящим. 11.Проверка на CRC и попадает во входную цепочку (Input) (разрешает). 12.Попадает в цепочку продвижения (Forward) (демаскарадинг). 13.Пакет становится исходящим и попадает в цепочку Output (разрешает). 14.Через eth1 уходит в сеть 192.168.2.0/24 15.Хост 192.168.2.3 принимает ответ. Есть еще одно не понятное мне из теори: [Правила входной и выходной цепочек применяются ко всем и каждому интерфейсу системы!] значит к eth0 и eth1? Получается пакет в одну сторону проходит 5 цепочек ? 2 раза входную 2 раза выходную и 1 раз продвижения ? А когда возвращается оивет опять проходит 5 цепочек ? Объясните пожалуйста как это понять? Спасибо. Доброго дня! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 30 марта, 2007 Жалоба Поделиться Опубликовано 30 марта, 2007 Общая логика верна, но так ли это детально, я сказать не могу, поскольку ipchains'ом не пользуюсь. Обновите лучше ядро, разница между 2.2 и 2.4 не так велика, как между 2.4 и 2.6, например, зато будем говорить на одном языке Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
vpk_vpk Опубликовано 31 марта, 2007 Жалоба Поделиться Опубликовано 31 марта, 2007 Лично пакет за хвост при движении по сети не держал, но книжка пишет именно так. Кстати, замена IPChains на IPTables, в частности, аргументируется и тем, что в IPTables схема движения пакетов, особенно по форвардингу, существенно упрощена, точнее, оптимизирована. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Miko27 Опубликовано 31 марта, 2007 Автор Жалоба Поделиться Опубликовано 31 марта, 2007 Есть еще одно не понятное мне из теори: [Правила входной и выходной цепочек применяются ко всем и каждому интерфейсу системы!] значит к eth0 и eth1? Получается пакет в одну сторону проходит 5 цепочек ? 2 раза входную 2 раза выходную и 1 раз продвижения ? А когда возвращается оивет опять проходит 5 цепочек ? Объясните пожалуйста как это понять? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.