rhel7, DNAT a neocekavane chovani [trochu delsi]

[Pavel Kankovsky]

On Wed, 28 Jan 2015, "Zdeněk Kaminski" wrote:

> A protoze nedodavate, ze to lze vynutit napr. v nejakem conntrack modulu 
> vhodnou option, tak se s tim asi budu muset smirit.

Lze přidat do tabulky raw pravidlo s cílem NOTRACK. Ovšem pak nejspíš 
nebudou fungovat SNAT a DNAT v tabulce nat.

Můžete použít RAWDNAT a RAWSNAT ze starší verze Xtables-addons (než to 
zrušili).

Prý jde také udělal stateless NAT pomocí příkazu "tc", je-li na to zapnutá 
podpora v jádře (NET_ACT_NAT).

A samozřejmě to vždy můžete překonfigurovat v souborech s příponou .c :)

> Zarazilo me ale opravdu to, ze  pocitadlo paketu zapocita puze ten prvni
> paket a pak jiz pri existujicim spojeni dalsi pakety nezapocitava.

Chová se to tak trochu, jako by na začátku bylo neviditelné pravidlo, 
které paket ve stavech ESTABLISHED (a RELATED) okamžitě akceptuje.

> Jane, zijete ve stejnem omylu, v jakem jsem zil doted ja. A to mi dokonce
> Yenya dal "zapocteno" ve svem seminari...

To by se asi ten zápočet měl protokolárně anulovat... ;)


On Thu, 29 Jan 2015, "Zdeněk Kaminski" wrote:

> Cele je to komplikovane i tim, ze nektera spojeni posilame do sveta 
> jinou vychozi branou a tudiz vstupni brana si v pameti zbytecne drzi 
> informaci o spojeni. Byt je mi to jedno, protoze provoz je na mnozstvi 
> pameti a rychlosti CPU zanedbatelny.

Stavový firewall a asymetrické routování, to moc nejde dohromady.
I když možná by se dalo ohnout conntrackd, aby to fungovalo.


-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"