[linux] rp_filter versus snat (for kernel hackers)

[riki]

> v prvom kroku je este vsetko OK. v druhom kroku je paket zahodeny, co je 
> IMHO zle. podla logu sudim ze sa najprv spravil De-SNAT a potom sa uplatnil 
> rp_filter. cielova ip-cka uz nezodpoveda interfacu ktorym paket prisiel, a je 
> vyhlaseny za martana. sudim ze by to malo byt naopak, najprv by sa mal filtrovat 
> a az potom De-SNATovat. zaujimavy a pre mna nepochopitelny je vplyv default 
> gateway na tieto operacie... je tu niekto natolko ostrielany aby vedel povedat, 
> kde je problem?

co sa tyka preroutingu rp_filter ti zbehne skor ako preroutingovy snat a 
je to ok

preroutingovy snat mozes obarlit tak ze

1. vypnes rp_filter
2. nastavis ip route pravidla, otagujes pakety a nakoniec ich prenatujes