zahada unikajicich nemaskaradovanych paketu
Petr Pisar
xpisar na fi.muni.cz
Středa Únor 28 13:33:34 CET 2007
On 2007-02-28, Petr Stehlik <pstehlik na sophics.cz> wrote:
> Zdar vsem,
>
> mam dva routery za sebou (ze smeru z internetu A a B), na obou bezi
> Shorewall v nejakem primitivnim nastaveni, za routerem B je pak
> maskaradovana LAN:
>
> internet ----- router A -------- router B ----- LAN
>
[...]
> No a ted ta zahada: mam v logu pomerne dost paketu, ktere odchazeji z
> LAN do internetu, tedy pres router B a pak A, a skutecne maji zdrojovou
> adresu z RFC1918 rozsahu, konkretne z toho, ktery je nastaven v te LAN.
> No a router A je zachyti, zaloguje a zahodi, jak jsem po nem chtel -
> protoze jsem vubec nepredpokladal, ze se tam takove pakety maji sanci
> objevit.
>
To je vlasnost netfilteru. Tabulkou nat prochazeji jen packety ve stavu
NEW. RELATED,ESTABLISHED jsou automaticky znatovany podle conntrack
tabulky a INVALID vubec nejsou zpracovany.
Zkuste si programem hping2 poslat z LAN TCP packet s nastavenym ACK
priznakem. Takovy paket nebude soucasti zadneho spojeni, nebude ani
novy, bude INVALID a routerem projde s nezmenenou adresou.
Takoveto pakety se obcas vyskytuji, kdyz se nekde nejaky predchozi paket
ztrati nebo se zmeni verejna IP (u maskarady).
-- Petr
Další informace o konferenci Linux