[linux] rp_filter versus snat (for kernel hackers)
riki
phobie na axfr.org
Pátek Prosinec 26 20:48:43 CET 2003
> v prvom kroku je este vsetko OK. v druhom kroku je paket zahodeny, co je
> IMHO zle. podla logu sudim ze sa najprv spravil De-SNAT a potom sa uplatnil
> rp_filter. cielova ip-cka uz nezodpoveda interfacu ktorym paket prisiel, a je
> vyhlaseny za martana. sudim ze by to malo byt naopak, najprv by sa mal filtrovat
> a az potom De-SNATovat. zaujimavy a pre mna nepochopitelny je vplyv default
> gateway na tieto operacie... je tu niekto natolko ostrielany aby vedel povedat,
> kde je problem?
co sa tyka preroutingu rp_filter ti zbehne skor ako preroutingovy snat a
je to ok
preroutingovy snat mozes obarlit tak ze
1. vypnes rp_filter
2. nastavis ip route pravidla, otagujes pakety a nakoniec ich prenatujes
Další informace o konferenci linux