The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

source routing (ipfw ipfilter route policy linux freebsd firewall)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: ipfw, ipfilter, route, policy, linux, freebsd, firewall,  (найти похожие документы)
_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _ From : Vitaly E.Lavrov 2:5030/580 29 Apr 99 16:53:26 Subj : source routing ________________________________________________________________________________ From: "Vitaly E.Lavrov" <lve@cit.aanet.ru> Andrey Shnir <Andrey.Shnir@f79.n5080.z2.fidonet.org> wrote: > Hello All! > Можно ли каким-либо образом релизовать source routing на *NIX для ip. То есть > маршрутизацию по адресу источника, а не назначения. Что-то аналогичное > указыванию next hop на циске. Во фре и линухе (начиная с 2.1) есть. В линухе очень просто ip rule [ list | add | del ] SELECTOR ACTION SELECTOR := [ from PREFIX ] [ to PREFIX ] [ tos TOS ] [fwmark FWMARK] [ dev STRING ] [ pref NUMBER ] ACTION := [ table TABLE_ID ] [ nat ADDRESS ] [ prohibit | reject | unreachable ] [ flowid CLASSID ] TABLE_ID := [ local | main | default | new | NUMBER ] ip rule from XXXX/XX to YYYY/YY [ dev input_dev ] table NNN После для маршрутизации пакетов из XXXX/XX через интерфейс input_dev в YYYY/YY будут использоваться дополнительная таблица маршрутизации. В >=2.2.5 есть и port-routing Виталий . --- ifmail v.2.14 * Origin: SPb State University of Aerospace Instrumentati (2:5030/580@fidonet) _ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _ From : Igor Sysoev 2:5020/400 30 Apr 99 16:30:02 Subj : source routing ________________________________________________________________________________ From: "Igor Sysoev" <igor@nitek.ru> Andrey Shnir <Andrey.Shnir@f79.n5080.z2.fidonet.org> wrote in article <925484859@f79.n5080.z2.ftn>... > >> Можно ли каким-либо образом релизовать source routing на *NIX для > >> ip. То есть маршрутизацию по адресу источника, а не назначения. > >> Что-то аналогичное указыванию next hop на циске. > VL> Во фре и линухе (начиная с 2.1) есть. > VL> В линухе очень просто > > С линухом понятно. А во фре это можно реализовать только через divert если > пользоваться стандартным ipfw? Как? Hа FreeBSD это решается с помощью ipfilter: pass in quick to ed0:192.168.1.1 proto tcp from 192.168.1.2 to any Совсем недавно я поставил ip-filter-3.2.10 на FreeBSD 2.2.7 и 2.2.8, и на первой из них пробовал этот самый to ed0. Работает. Единственное, если на этом ed0 еще делается NAT, то редиректнутые пакеты не проходят через NAT со всеми вытекающими. -- С уважением, Игорь Сысоев http://www.nitek.ru/~igor/ --- ifmail v.2.14dev3 * Origin: A poorly-installed InterNetNews site (2:5020/400) _ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _ From : Anatoly A. Orehovsky 2:5020/400 04 May 99 10:54:04 Subj : policy routing и source routing ________________________________________________________________________________ From: tolik@mpeks.tomsk.su (Anatoly A. Orehovsky) Vadim Belman (Vadim.Belman@f36.n464.z2.fidonet.org) wrote: : tolik> каким-либо образом релизовать source routing на *NIX для : >> : tolik> ip. То есть маршрутизацию по адресу источника, а не назначения. : : tolik> >> Что-то аналогичное указыванию next hop на циске. : tolik> Точнее будет - policy routing. : Или я чего-то не понимаю, или одно из : двух... /etc/defaults/rc.conf: : forward_sourceroute="NO" # do source routing (only if gateway_enable is : set to "YES") : accept_sourceroute="NO" # accept source routed packets to us Видимо, все же, не понимаешь... policy routing и source routing - абсолютно разные вещи. Скажу очень просто, чтобы не вдаваться в детали: source routing порождается источником пакета и заставляет все маршрутизаторы по пути следования к получателю маршрутизировать пакет так, как этого захотел источник. Потенциально это опасно, поскольку позволяет завернуть пакет несоответсвенно маршрутной политике. Хорошая возможность для спуфинга. Поэтому настоятельно рекомендуется на маршрутизаторах, особенно имеющих соединение с Интернет, запрещать форвардинг пакетов, требующих source routing. И, в частности, запрещать и прием таких пакетов. policy routing затрагивает все пакеты, удовлетворяющие некоторым условиям. При этом источник не имеет возможности управлять маршрутизацией. В конце концов - source routing затрагивает ВСЕ маршрутизаторы на пути следования пакета плюс получателя. Кроме того, источник должен задать маршрут. policy routing касается только какого-то конкретного маршрутизатора. При этом ни источник, ни получатель в процессе маршрутизации не участвуют. Я достаточно всем запудрил мозги ? -- Anatoly A. Orehovsky. AO9-RIPE. AAO1-RIPN --- ifmail v.2.14dev3 * Origin: CISA Ltd. InterNetNews site (2:5020/400)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
 
  • 1.1, cvb (??), 00:10, 05/09/2006 [ответить]    [к модератору]
  • +/
    подсказка тем кто ищет аналог policy-routing под pf.

    Всё очень просто, если внимательно читать доку. Ключевое слово "route-to":

    Load Balance Outgoing Traffic

    Address pools can be used in combination with the route-to filter option to load balance two or more Internet connections when a proper multi-path routing protocol (like BGP4) is unavailable. By using route-to with a round-robin address pool, outbound connections can be evenly distributed among multiple outbound paths.
    One additional piece of information that's needed to do this is the IP address of the adjacent router on each Internet connection. This is fed to the route-to option to control the destination of outgoing packets.

    Немного переделав пример получаем желаемое:

    lan_net = "192.168.0.0/24"
    int_if  = "dc0"
    ext_if1 = "fxp0"
    ext_gw1 = "68.146.224.1"


    pass in on $int_if route-to \
       { ($ext_if1 $ext_gw1) } \
       from $lan_net to any keep state

    то есть все пакеты с src=$lan_net будут маршрутизироваться (next-hop) в нужный вам интерфейс и шлюз.

    Вроде бы ничего сложного, но я убил неделю, пытаясь добиться такого от zebra, а она не виновата :)

     
     
  • 2.2, waso (?), 14:07, 12/01/2007 [^] [ответить]    [к модератору]
  • +/
    >подсказка тем кто ищет аналог policy-routing под pf.
    >
    >Всё очень просто, если внимательно читать доку. Ключевое слово "route-to":
    Спасибо тебе, добрый человек!! А то у меня на эту тему чуть истерика не случилась: лучший пакетный файр, а такую тупую фишку не умеет делать.. :)

     
  • 2.5, t0rik (?), 11:14, 12/12/2007 [^] [ответить]    [к модератору]
  • +/
    >[оверквотинг удален]
    >
    >pass in on $int_if route-to \
    >   { ($ext_if1 $ext_gw1) } \
    >   from $lan_net to any keep state
    >
    >то есть все пакеты с src=$lan_net будут маршрутизироваться (next-hop) в нужный вам
    >интерфейс и шлюз.
    >
    >Вроде бы ничего сложного, но я убил неделю, пытаясь добиться такого от
    >zebra, а она не виновата :)

    Вроде неплохо выглядит конструкция, но у меня другая проблема этот самый ext_gw1 у меня меняет пров периодически (PPPoe) как поступать в таком случае?


     
  • 2.6, demon (??), 18:34, 14/05/2009 [^] [ответить]    [к модератору]
  • +/
    >[оверквотинг удален]
    >
    >pass in on $int_if route-to \
    >   { ($ext_if1 $ext_gw1) } \
    >   from $lan_net to any keep state
    >
    >то есть все пакеты с src=$lan_net будут маршрутизироваться (next-hop) в нужный вам
    >интерфейс и шлюз.
    >
    >Вроде бы ничего сложного, но я убил неделю, пытаясь добиться такого от
    >zebra, а она не виновата :)

    Подсказка очень пригодилась - спасибо. А ларчик оказывается просто открывался :)

     
  • 1.3, aikz (?), 20:44, 19/01/2007 [ответить]    [к модератору]
  • +/
    А на ipf как routing policy замутить?
     
     
  • 2.4, flexxy (?), 20:14, 03/02/2007 [^] [ответить]    [к модератору]  
  • +/
    http://www.opennet.ru/openforum/vsluhforumID3/1902.html#16
    цитирую:

    тоже никак не хотело работать с правилом "ipfw add fwd ..."
    (если важно: FreeBSD 4.11, связка ipfw и ipnat, два внешних и-фейса к разным ISP... хоть по логам правило якобы работало - фактически, кроме статик_роутов, пакеты с "неподходящего ip" пытались уходить не с нужного интерфейса, а через тот, за которым defaultrouter)
    зато всё отлично заработало с помощью единственного правила ipfilter!
    /etc/ipf.rules:
    pass out quick on fxp0 to fxp1:1.1.1.254 from 1.1.1.1 to any

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor