DNAT: Neforwardovani tcp spojeni [trosku delsi] (vyreseno)
Dal Horinek
dallinux na centrum.cz
Pondělí Leden 1 19:41:06 CET 2007
Dobry den,
dekuji moc za vysvetleni, ted uz to chapu a je mi problem jasny...
Takze jeste jednou DIKY :)
Slávek Banko wrote:
> Pro vysvětlení naznačím rozdíl cesty paketu a odpovědi bez a s
> SNAT/MASQUERADE:
>
> __bez_SNAT__
>
> Notebook1:
> notebook1 => server (na odchodu)
>
> Server:
> notebook1 => server (příjem)
> notebook1 => notebook2 (proveden dnat)
> notebook1 => notebook2 (na odchodu)
>
> Notebook2:
> notebook1 => notebook2 (příjem)
> notebook2 => notebook1 (odpověď)
>
> Notebook1:
> notebook2 => notebook1 (příjem)
> - neočekávaný paket bude ignorován/zahozen
>
> __s_snat__
>
> Notebook1:
> notebook1 => server (na odchodu)
>
> Server:
> notebook1 => server (příjem)
> notebook1 => notebook2 (proveden dnat)
> server => notebook2 (proveden snat/masquerade)
> server => notebook2 (na odchodu)
>
> Notebook2:
> server => notebook2 (příjem)
> notebook2 => server (odpověď)
>
> Server:
> notebook2 => server (příjem)
> notebook2 => notebook1 (obnovení z snat/masquerade)
> server => notebook1 (obnovení z dnat)
> server => notebook1 (na odchodu)
>
> Notebook1:
> server => notebook1 (příjem)
>
> Z toho by mělo být patrné, že DNAT proběhl vždy. Bez přepisu zdrojové
> adresy ale putovaly odpověďi přímo na notebook1, a tak se vracely
> neočekávané pakety. Po doplnění SNAT či MASQUERADE je zajištěna i
> zpáteční cesta paketu přes server.
>
> V případě paketů, které na server přichází z vnějšího rozhraní je zpáteční
> cesta zajištěna "automaticky", protože notebook2 posílá odpovědi na svou
> výchozí bránu, což pravděpodobně je právě server.
>
> Slávek
>
--
== www.horinek.net ==
Dalibor Horinek
ICQ: 178217372
Další informace o konferenci Linux