CBQ na maskarade - smer out
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Pondělí Únor 18 16:21:41 CET 2002
Dalibor Toman wrote:
> > > V cem delam chybu? Jadra rady 2.2. neco takoveho neumi/neresi?
> >
> > Pochopil jsem dobre to, ze chcete omezovat datovy tok z pocitace
> > 192.168.0.10 ven do internetu?
Ano, pozadavek je presny...
> > Pak bych se tak nedivil, ze to nefunguje s pravidly na eth1.
> Reguluji
> > se jen odchozi data. Tudiz by jset mel mit omezovac na eth0.
>
> a na eth0 se samozrejme diky maskarade neobjevi src IP 192.168.0.10
Bohuzel i zaver je spravny - omezeni na eth0 nelze pouzit, protoze
ztracim podstatnou informaci...
Vyjdu-li ze zaznamenanych paketu z tcpdumpu:
[root na rtr-fonet pajasoft]# tcpdump -n dst <SOME IP>
Kernel filter, protocol ALL, datagram packet socket
tcpdump: listening on all devices
15:31:50.722235 eth1 < 192.168.0.10.1781 > A.B.C.D.ssh: S
3860081716:3860081716(0) win 32120 <mss 1460,sackOK,timestamp 62545746
0,nop,wscale 0> (DF)
15:31:50.722582 eth0 > A.B.C.D.63648 > <SOME IP>.ssh: S
3860081716:3860081716(0) win 32120 <mss 1460,sackOK,timestamp 62545746
0,nop,wscale 0> (DF)
Pak packet skutecne nejprve projde eth1, coz je lokalni sitovka, pote
nastoupi maskarada a routing to samozrejme korektne posle na eth0 do
Internetu => na eth1 bych pri spravne volbe filtru mel takovy paket
zachytit, na eth0 nemam co pohledavat, prichazim o relevantni cast
filtrovaci informace.
V cem je tedy zakopan pes, resp. proc ho na eth1 nemohu chytit?
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux