DNAT: Neforwardovani tcp spojeni [trosku delsi] (vyreseno)

[Dal Horinek]

Dobry den,

dekuji moc za vysvetleni, ted uz to chapu a je mi problem jasny...

  Takze jeste jednou DIKY :)

Slávek Banko wrote:
> Pro vysvětlení naznačím rozdíl cesty paketu a odpovědi bez a s 
> SNAT/MASQUERADE:
>
> __bez_SNAT__
>
> Notebook1:
>   notebook1 => server (na odchodu)
>
> Server:
>   notebook1 => server (příjem)
>   notebook1 => notebook2 (proveden dnat)
>   notebook1 => notebook2 (na odchodu)
>
> Notebook2:
>   notebook1 => notebook2 (příjem)
>   notebook2 => notebook1 (odpověď)
>
> Notebook1:
>   notebook2 => notebook1 (příjem)
>    - neočekávaný paket bude ignorován/zahozen
>
> __s_snat__
>
> Notebook1:
>   notebook1 => server (na odchodu)
>
> Server:
>   notebook1 => server (příjem)
>   notebook1 => notebook2 (proveden dnat)
>   server => notebook2 (proveden snat/masquerade)
>   server => notebook2 (na odchodu)
>
> Notebook2:
>   server => notebook2 (příjem)
>   notebook2 => server (odpověď)
>
> Server:
>   notebook2 => server (příjem)
>   notebook2 => notebook1 (obnovení z snat/masquerade)
>   server => notebook1 (obnovení z dnat)
>   server => notebook1 (na odchodu)
>
> Notebook1:
>   server => notebook1 (příjem)
>
> Z toho by mělo být patrné, že DNAT proběhl vždy. Bez přepisu zdrojové 
> adresy ale putovaly odpověďi přímo na notebook1, a tak se vracely 
> neočekávané pakety. Po doplnění SNAT či MASQUERADE je zajištěna i 
> zpáteční cesta paketu přes server.
>
> V případě paketů, které na server přichází z vnějšího rozhraní je zpáteční 
> cesta zajištěna "automaticky", protože notebook2 posílá odpovědi na svou 
> výchozí bránu, což pravděpodobně je právě server.
>
> Slávek
>   


-- 
== www.horinek.net ==
Dalibor Horinek
ICQ: 178217372