forum.opennet.ru

Составление сообщения

Исходное сообщение

"FreeBSD 7.1 + NetAMS + ipnat + ipfw"
Отправлено amfetamin, 25-Фев-09 04:18

И так. День чтения статей, форумов и манов не прошёл зря, ночь опытов над ipfw + netams + ipnat дала свои плоды.
Уяснил для себя механику прохождения пакета из локальной сети сквозь шлюз с сабжом, во вне.
Что удалось понять методом научного тыка) А так же подводные камни в заворачивании трафика на нетамс с внутреннего интерфейса. Авось кому пригодится =)
Пакет из локальной сети летит на внутренний интерфейс шлюза,упирается в фаервол, начинает идти по правилам ipfw с верху в низ, проходит, тут его ловит нетамс (диверт в начале правил),жуёт и выплёвывает в систему, при чём пакет не продолжает движение по правилам ipfw с того места где был зажован в амс,а о5 прётся с самого начала... (что убило напрочь мои попытки сделать красивый модульный конфиг у ipfw) далее соединение инициализирует не адрес в локальной сети,а "me"... т.е. сама система (что жутко бесит и крайне не удобно), такой генно-модифицированный пакет пересылается на внешний интерфейс и о5 упирается в ipfw, начинает идти по правилам с верху в низ и если находит дырку вылазит наружу, тут его цепляет ipnat и быстренько перебивает заголовки у пакета.
Ответ на такой запрос идёт прямиком на наш внешний интерфейс, тут по идее должны работать либо статические правила,что в моём случае не очень секьюрно или динамика, established в частности такое положение дел переваривает на ура,но TCP only это печально =(,а вот keep-state для udp это дело не нравится.
Т.е. keep-state хочет для создания динамического правила (скажем для ДНС резольва), правило вида allow udp from me to any 53 xmit ${внешний интерфейс}.
При таком положении дел,правило создаётся, но такое же приходится делать и для прохода во внутреннюю сеть, или разрешать весь трафик по внутреннему интерфейсу.
Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже как пакет самой системы и не получается при моей схеме (амс на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в локальной сети до назначения во вне.
Есть у кого нибудь идеи и домыслы по этому поводу? Если я что-то не так понял методом проб и ошибок, прошу поправить.
Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново конфиг ipfw переписывать,а уже хочется баю бай =)

Исходное сообщение
"FreeBSD 7.1 + NetAMS + ipnat + ipfw" Отправлено amfetamin, 25-Фев-09 04:18
И так. День чтения статей, форумов и манов не прошёл зря, ночь опытов над ipfw + netams + ipnat дала свои плоды. Уяснил для себя механику прохождения пакета из локальной сети сквозь шлюз с сабжом, во вне. Что удалось понять методом научного тыка) А так же подводные камни в заворачивании трафика на нетамс с внутреннего интерфейса. Авось кому пригодится =) Пакет из локальной сети летит на внутренний интерфейс шлюза,упирается в фаервол, начинает идти по правилам ipfw с верху в низ, проходит, тут его ловит нетамс (диверт в начале правил),жуёт и выплёвывает в систему, при чём пакет не продолжает движение по правилам ipfw с того места где был зажован в амс,а о5 прётся с самого начала... (что убило напрочь мои попытки сделать красивый модульный конфиг у ipfw) далее соединение инициализирует не адрес в локальной сети,а "me"... т.е. сама система (что жутко бесит и крайне не удобно), такой генно-модифицированный пакет пересылается на внешний интерфейс и о5 упирается в ipfw, начинает идти по правилам с верху в низ и если находит дырку вылазит наружу, тут его цепляет ipnat и быстренько перебивает заголовки у пакета. Ответ на такой запрос идёт прямиком на наш внешний интерфейс, тут по идее должны работать либо статические правила,что в моём случае не очень секьюрно или динамика, established в частности такое положение дел переваривает на ура,но TCP only это печально =(,а вот keep-state для udp это дело не нравится. Т.е. keep-state хочет для создания динамического правила (скажем для ДНС резольва), правило вида allow udp from me to any 53 xmit ${внешний интерфейс}. При таком положении дел,правило создаётся, но такое же приходится делать и для прохода во внутреннюю сеть, или разрешать весь трафик по внутреннему интерфейсу. Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже как пакет самой системы и не получается при моей схеме (амс на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в локальной сети до назначения во вне. Есть у кого нибудь идеи и домыслы по этому поводу? Если я что-то не так понял методом проб и ошибок, прошу поправить. Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново конфиг ipfw переписывать,а уже хочется баю бай =)

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> И так. День чтения статей, форумов и манов не прошёл зря, ночь 
> опытов над ipfw + netams + ipnat дала свои плоды.
> Уяснил для себя механику прохождения пакета из локальной сети сквозь шлюз с 
> сабжом, во вне.
> Что удалось понять методом научного тыка) А так же подводные камни в 
> заворачивании трафика на нетамс с внутреннего интерфейса. Авось кому пригодится =)

> Пакет из локальной сети летит на внутренний интерфейс шлюза,упирается в фаервол, начинает 
> идти по правилам ipfw с верху в низ, проходит, тут его 
> ловит нетамс (диверт в начале правил),жуёт и выплёвывает в систему, при 
> чём пакет не продолжает движение по правилам ipfw с того места 
> где был зажован в амс,а о5 прётся с самого начала... (что 
> убило напрочь мои попытки сделать красивый модульный конфиг у ipfw) далее 
> соединение инициализирует не адрес в локальной сети,а "me"... т.е. сама система 
> (что жутко бесит и крайне не удобно), такой генно-модифицированный пакет пересылается 
> на внешний интерфейс и о5 упирается в ipfw, начинает идти по 
> правилам с верху в низ и если находит дырку вылазит наружу, 
> тут его цепляет ipnat и быстренько перебивает заголовки у пакета.

> Ответ на такой запрос идёт прямиком на наш внешний интерфейс, тут по 
> идее должны работать либо статические правила,что в моём случае не очень 
> секьюрно или динамика, established в частности такое положение дел переваривает на 
> ура,но TCP only это печально =(,а вот keep-state для udp это 
> дело не нравится.
> Т.е. keep-state хочет для создания динамического правила (скажем для ДНС резольва), правило 
> вида allow udp from me to any 53 xmit ${внешний интерфейс}. 
 
> При таком положении дел,правило создаётся, но такое же приходится делать и для 
> прохода во внутреннюю сеть, или разрешать весь трафик по внутреннему интерфейсу.

> Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже 
> как пакет самой системы и не получается при моей схеме (амс 
> на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в 
> локальной сети до назначения во вне.

> Есть у кого нибудь идеи и домыслы по этому поводу? Если я 
> что-то не так понял методом проб и ошибок, прошу поправить.
> Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново 
> конфиг ipfw переписывать,а уже хочется баю бай =)

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру