rhel7, DNAT a neocekavane chovani [trochu delsi]
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Leden 29 21:35:39 CET 2015
On Wed, 28 Jan 2015, "Zdeněk Kaminski" wrote:
> A protoze nedodavate, ze to lze vynutit napr. v nejakem conntrack modulu
> vhodnou option, tak se s tim asi budu muset smirit.
Lze přidat do tabulky raw pravidlo s cílem NOTRACK. Ovšem pak nejspíš
nebudou fungovat SNAT a DNAT v tabulce nat.
Můžete použít RAWDNAT a RAWSNAT ze starší verze Xtables-addons (než to
zrušili).
Prý jde také udělal stateless NAT pomocí příkazu "tc", je-li na to zapnutá
podpora v jádře (NET_ACT_NAT).
A samozřejmě to vždy můžete překonfigurovat v souborech s příponou .c :)
> Zarazilo me ale opravdu to, ze pocitadlo paketu zapocita puze ten prvni
> paket a pak jiz pri existujicim spojeni dalsi pakety nezapocitava.
Chová se to tak trochu, jako by na začátku bylo neviditelné pravidlo,
které paket ve stavech ESTABLISHED (a RELATED) okamžitě akceptuje.
> Jane, zijete ve stejnem omylu, v jakem jsem zil doted ja. A to mi dokonce
> Yenya dal "zapocteno" ve svem seminari...
To by se asi ten zápočet měl protokolárně anulovat... ;)
On Thu, 29 Jan 2015, "Zdeněk Kaminski" wrote:
> Cele je to komplikovane i tim, ze nektera spojeni posilame do sveta
> jinou vychozi branou a tudiz vstupni brana si v pameti zbytecne drzi
> informaci o spojeni. Byt je mi to jedno, protoze provoz je na mnozstvi
> pameti a rychlosti CPU zanedbatelny.
Stavový firewall a asymetrické routování, to moc nejde dohromady.
I když možná by se dalo ohnout conntrackd, aby to fungovalo.
--
Pavel Kankovsky aka Peak "Que sais-je?"
Další informace o konferenci Linux