URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5322
[ Назад ]

Исходное сообщение
"Уточнение работы DNAT(NETMAP)"

Отправлено flosisa , 17-Апр-15 10:27 
   Здравствуйте,я хотел уточнить для себя работы DNAT(NETMAP). Вопрос такой, пакет будет пробрасыватся, только если изначальный(исходный) адрес назначения или сеть назначения будет принадлежать тому хосту где фильтрация идет, другими словами говоря, на хосте котором пакет будет DNAT или NETMAP'ится соответственно или необязательно чтобы изначальный адрес назначения соответствовал с адресами шлюза(фильтрующего хоста). Например, адреса шлюза:

   1. 192.168.0.1/24
   2. 192.168.1.1/24

1. Пакет пришел к шлюзу и в заголовке указано: 192.168.0.6(source) и 192.168.0.1(destination). В таком случаи, понятно пакет пробрасывается на хост допустим 192.168.1.8(можно еще пакет SNAT'ить, ну это сейчас не важно).
2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables не учитывает такой вариант например по инфо. безопасности и будет уничтожат такой пакет, считая что такой пакет не подлежит к DNAT. Может по безопасности это по default отключено и это где-то можно включить при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для себя все это. Заранее всем спасибо!

P.S.
Я это проверил, но у меня не получилось, может я что-то не правильно делаю или такое нельзя осуществить.


Содержание

Сообщения в этом обсуждении
"Уточнение работы DNAT(NETMAP)"
Отправлено pavel_simple , 17-Апр-15 11:18 
>[оверквотинг удален]
> 2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном
> пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables
> не учитывает такой вариант например по инфо. безопасности и будет уничтожат
> такой пакет, считая что такой пакет не подлежит к DNAT. Может
> по безопасности это по default отключено и это где-то можно включить
> при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для
> себя все это. Заранее всем спасибо!
> P.S.
> Я это проверил, но у меня не получилось, может я что-то не
> правильно делаю или такое нельзя осуществить.

это-же маршрутизация, какой тут может быть свой/не_свой диапазон ip -- NETMAP'у пофиг что и куда мапить. Если у вас н еробит -- значит вы делаете это неверно.



"Уточнение работы DNAT(NETMAP)"
Отправлено flosisa , 18-Апр-15 11:10 
> это-же маршрутизация, какой тут может быть свой/не_свой диапазон ip -- NETMAP'у пофиг
> что и куда мапить. Если у вас н еробит -- значит
> вы делаете это неверно.

   Спасибо за ответ Mr., я заново попробую, у меня просто не было уверенность что это рабоает, зато тепер уверенность есть, есть на что тратить время. Не был уверенным в себе, потому что в doc'ах не нашел такое, что DNAT'у все равно изначальный dest ip принадлежит ли хосту, где фильтрация идет или нет.