Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Ключевые слова: ipfw, ipfilter, route, policy, linux, freebsd, firewall,  (найти похожие документы)

_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
 From : Vitaly E.Lavrov                     2:5030/580      29 Apr 99  16:53:26
 Subj : source routing
________________________________________________________________________________
From: "Vitaly E.Lavrov" <lve@cit.aanet.ru>

Andrey Shnir <Andrey.Shnir@f79.n5080.z2.fidonet.org> wrote:
> Hello All!

> Можно ли каким-либо образом релизовать source routing на *NIX для ip. То есть
> маршрутизацию по адресу источника, а не назначения. Что-то аналогичное
> указыванию next hop на циске.
Во фре и линухе (начиная с 2.1) есть.
В линухе очень просто

ip rule [ list | add | del ] SELECTOR ACTION
SELECTOR := [ from PREFIX ] [ to PREFIX ] [ tos TOS ] [fwmark FWMARK]
            [ dev STRING ] [ pref NUMBER ]
ACTION := [ table TABLE_ID ] [ nat ADDRESS ]
          [ prohibit | reject | unreachable ]
          [ flowid CLASSID ]
TABLE_ID := [ local | main | default | new | NUMBER ]

ip rule from XXXX/XX to YYYY/YY [ dev input_dev ] table NNN
После для маршрутизации пакетов из XXXX/XX через интерфейс input_dev в YYYY/YY
будут использоваться дополнительная таблица маршрутизации.
В >=2.2.5 есть и port-routing

  Виталий
.
--- ifmail v.2.14
 * Origin: SPb State University of Aerospace Instrumentati (2:5030/580@fidonet)

_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
 From : Igor Sysoev                         2:5020/400      30 Apr 99  16:30:02
 Subj : source routing
________________________________________________________________________________
From: "Igor Sysoev" <igor@nitek.ru>

Andrey Shnir <Andrey.Shnir@f79.n5080.z2.fidonet.org> wrote
in article <925484859@f79.n5080.z2.ftn>...

>  >> Можно ли каким-либо образом релизовать source routing на *NIX для
>  >> ip. То есть маршрутизацию по адресу источника, а не назначения.
>  >> Что-то аналогичное указыванию next hop на циске.
>  VL> Во фре и линухе (начиная с 2.1) есть.
>  VL> В линухе очень просто
>
> С линухом понятно. А во фре это можно реализовать только через divert
если
> пользоваться стандартным ipfw? Как?

Hа FreeBSD это решается с помощью ipfilter:
pass in quick to ed0:192.168.1.1 proto tcp from 192.168.1.2 to any

Совсем недавно я поставил ip-filter-3.2.10 на FreeBSD 2.2.7 и 2.2.8,
и на первой из них пробовал этот самый to ed0. Работает.
Единственное, если на этом ed0 еще делается NAT, то
редиректнутые пакеты не проходят через NAT со всеми вытекающими.

--
С уважением,
Игорь Сысоев
http://www.nitek.ru/~igor/

--- ifmail v.2.14dev3
 * Origin: A poorly-installed InterNetNews site (2:5020/400)

_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
 From : Anatoly A. Orehovsky                2:5020/400      04 May 99  10:54:04
 Subj : policy routing и source routing
________________________________________________________________________________
From: tolik@mpeks.tomsk.su (Anatoly A. Orehovsky)

Vadim Belman (Vadim.Belman@f36.n464.z2.fidonet.org) wrote:

:  tolik> каким-либо образом релизовать source routing на *NIX для : >>
:  tolik> ip. То есть маршрутизацию по адресу источника, а не назначения.  :
:  tolik> >> Что-то аналогичное указыванию next hop на циске.

:  tolik> Точнее будет - policy routing.

:  Или я чего-то не понимаю, или одно из
:  двух... /etc/defaults/rc.conf:

: forward_sourceroute="NO"        # do source routing (only if gateway_enable is
: set to "YES")
: accept_sourceroute="NO"         # accept source routed packets to us

Видимо, все же, не  понимаешь...

policy routing и source routing - абсолютно разные вещи.

Скажу очень просто, чтобы не вдаваться в детали:

source routing порождается источником пакета и заставляет все
маршрутизаторы по пути следования к получателю маршрутизировать пакет
так, как этого захотел источник. Потенциально это опасно, поскольку
позволяет завернуть пакет несоответсвенно маршрутной политике. Хорошая
возможность для спуфинга.

Поэтому настоятельно рекомендуется на маршрутизаторах, особенно имеющих
соединение с Интернет, запрещать форвардинг пакетов, требующих source
routing. И, в частности, запрещать и прием таких пакетов.

policy routing затрагивает все пакеты, удовлетворяющие некоторым
условиям. При этом источник не имеет возможности управлять
маршрутизацией.

В конце концов - source routing затрагивает ВСЕ маршрутизаторы на пути
следования пакета плюс получателя. Кроме того, источник должен задать
маршрут.

policy routing касается только какого-то конкретного маршрутизатора. При
этом ни источник, ни получатель в процессе маршрутизации не участвуют.

Я достаточно всем запудрил мозги ?

--
Anatoly A. Orehovsky. AO9-RIPE. AAO1-RIPN
--- ifmail v.2.14dev3
 * Origin: CISA Ltd. InterNetNews site (2:5020/400)



<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]   1.1, cvb, 00:10, 05/09/2006 [ответить] [смотреть все] +/– подсказка тем кто ищет аналог policy-routing под pf Всё очень просто, если вним... весь текст скрыт [показать]     2.2, waso, 14:07, 12/01/2007 [^] [ответить] [смотреть все]   +/– >подсказка тем кто ищет аналог policy-routing под pf. > >Всё очень просто, если внимательно читать доку. Ключевое слово "route-to": Спасибо тебе, добрый человек!! А то у меня на эту тему чуть истерика не случилась: лучший пакетный файр, а такую тупую фишку не умеет делать.. :)   2.5, t0rik, 11:14, 12/12/2007 [^] [ответить] [смотреть все]   +/– >[оверквотинг удален] > >pass in on $int_if route-to \ >   { ($ext_if1 $ext_gw1) } \ >   from $lan_net to any keep state > >то есть все пакеты с src=$lan_net будут маршрутизироваться (next-hop) в нужный вам >интерфейс и шлюз. > >Вроде бы ничего сложного, но я убил неделю, пытаясь добиться такого от >zebra, а она не виновата :) Вроде неплохо выглядит конструкция, но у меня другая проблема этот самый ext_gw1 у меня меняет пров периодически (PPPoe) как поступать в таком случае?   2.6, demon, 18:34, 14/05/2009 [^] [ответить] [смотреть все]   +/– >[оверквотинг удален] > >pass in on $int_if route-to \ >   { ($ext_if1 $ext_gw1) } \ >   from $lan_net to any keep state > >то есть все пакеты с src=$lan_net будут маршрутизироваться (next-hop) в нужный вам >интерфейс и шлюз. > >Вроде бы ничего сложного, но я убил неделю, пытаясь добиться такого от >zebra, а она не виновата :) Подсказка очень пригодилась - спасибо. А ларчик оказывается просто открывался :)   1.3, aikz, 20:44, 19/01/2007 [ответить] [смотреть все]   +/– А на ipf как routing policy замутить?     2.4, flexxy, 20:14, 03/02/2007 [^] [ответить] [смотреть все]   +/– http://www.opennet.ru/openforum/vsluhforumID3/1902.html#16 цитирую: тоже никак не хотело работать с правилом "ipfw add fwd ..." (если важно: FreeBSD 4.11, связка ipfw и ipnat, два внешних и-фейса к разным ISP... хоть по логам правило якобы работало - фактически, кроме статик_роутов, пакеты с "неподходящего ip" пытались уходить не с нужного интерфейса, а через тот, за которым defaultrouter) зато всё отлично заработало с помощью единственного правила ipfilter! /etc/ipf.rules: pass out quick on fxp0 to fxp1:1.1.1.254 from 1.1.1.1 to any   Ваш комментарий Имя:          E-Mail:       Заголовок: Текст:

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Оформить подписку на год