forum.opennet.ru - "ipfw" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw"
Сообщение от A Clockwork Orange on 14-Янв-04, 13:23 (MSK)
Интересная вещь. пакет может проваряться на входе на интерфейс in recv if пакет может проверяться при передаче на другой интерфейс out recv if пакет может проверяться при покидании интерфейс out xmit if 1. если при использовании с divert natd поставить логирование пакетов на out recv if на внешнем интерфейсе , в логе регистрируются эти пакеты как покидающие внутренний интерфейс out via iif. 2. если поставить на внешний интерфейс вести проверку via if, то получается что пакет проверяется на внешнем интерфейсе дважды как на in recv и после natd (когда появляются фейковые адреса в адресах назначения) на out recv. Получается что при natd пакет проверяется на одном интерфейсе дважды. Где я не прав?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw, YuryD, 13:42 , 14-Янв-04, (1)
- ipfw, A Clockwork Orange, 13:45 , 14-Янв-04, (2)
  - ipfw, YuryD, 14:12 , 14-Янв-04, (3)
    - ipfw, A Clockwork Orange, 14:14 , 14-Янв-04, (4)
      - ipfw, YuryD, 14:49 , 14-Янв-04, (5)
        
        ipfw, A Clockwork Orange, 15:11 , 14-Янв-04, (6)
        
        ipfw, YuryD, 15:24 , 14-Янв-04, (7)
        
        ipfw, YuryD, 15:25 , 14-Янв-04, (8)
        
        ipfw, A Clockwork Orange, 15:47 , 14-Янв-04, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw"

Сообщение от YuryD on 14-Янв-04, 13:42  (MSK)

>Получается что при natd пакет проверяется на одном интерфейсе дважды.
>
>Где я не прав?
Прав, попробуй правило count с указанием и без указания via if,
и получишь удвоенный траффик....

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw"

Сообщение от A Clockwork Orange on 14-Янв-04, 13:45  (MSK)

значит если писать via if то пакеты будут на if проверяться трижды?!
Так?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw"

Сообщение от YuryD on 14-Янв-04, 14:12  (MSK)

>значит если писать via if то пакеты будут на if проверяться трижды?!
>
Нет

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw"

Сообщение от A Clockwork Orange on 14-Янв-04, 14:14  (MSK)

Почему же
in recv if
out recv if
out xmit if
все вместе есть via if

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw"

Сообщение от YuryD on 14-Янв-04, 14:49  (MSK)

>Почему же
>in recv if
>out recv if
>out xmit if
>
>все вместе есть via if
все правильно, когда адреса пишешь from any to any
в случае from any to fake_ip via natd_if все правильно.
В случае from any to real_ip (марщрутизация реальных ip) == удвоение
from any to real_ip via iif(или oif) =все верно

При использовании divert можно наблюдать такой тип траффика
internet_ip->natd_ip
natd_ip->fake_ip

И internet_ip->fake_ip

проверено trafd

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw"

Сообщение от A Clockwork Orange on 14-Янв-04, 15:11  (MSK)

>>Почему же
>>in recv if
>>out recv if
>>out xmit if
>>
>>все вместе есть via if
>
> все правильно, когда адреса пишешь from any to any
Имеено это я имел ввиду from any to any
> в случае from any to fake_ip via natd_if все правильно.
>
> В случае from any to real_ip (марщрутизация реальных ip) == удвоение
>
> from any to real_ip via iif(или oif) =все верно
>
>
>
> При использовании divert можно наблюдать такой тип траффика
>
> internet_ip->natd_ip
Согласен, до того как пакет прошел natd
Пакет помжно проверить как in recv oif
> natd_ip->fake_ip
~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить
>
> И internet_ip->fake_ip
Согласен, после того как пакет прошел natd
Пакет можно проверить как out recv oif
Самое интересное что порядок правил как до divert так и после divert ничего не меняет.
Это касательно oif
(как и  out xmit iif)
>
> проверено trafd

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw"

Сообщение от YuryD on 14-Янв-04, 15:24  (MSK)

>> natd_ip->fake_ip
>~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить

Повесить trafd на оба интерфейса и поглядеть ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw"

Сообщение от YuryD on 14-Янв-04, 15:25  (MSK)

>>> natd_ip->fake_ip
>>~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить
>
> Повесить trafd на оба интерфейса и поглядеть ?

Пардон, не прав был, погорячился .... Нету natd_ip->fake_ip

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw"

Сообщение от A Clockwork Orange on 14-Янв-04, 15:47  (MSK)

Эти два трафика на внешнем интерфейса?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw"
Сообщение от YuryD on 14-Янв-04, 13:42 (MSK)
>Получается что при natd пакет проверяется на одном интерфейсе дважды. > >Где я не прав? Прав, попробуй правило count с указанием и без указания via if, и получишь удвоенный траффик....
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw"
	Сообщение от A Clockwork Orange on 14-Янв-04, 13:45 (MSK)
	значит если писать via if то пакеты будут на if проверяться трижды?! Так?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw"
	Сообщение от YuryD on 14-Янв-04, 14:12 (MSK)
	>значит если писать via if то пакеты будут на if проверяться трижды?! > Нет
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw"
	Сообщение от A Clockwork Orange on 14-Янв-04, 14:14 (MSK)
	Почему же in recv if out recv if out xmit if все вместе есть via if
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw"
	Сообщение от YuryD on 14-Янв-04, 14:49 (MSK)
	>Почему же >in recv if >out recv if >out xmit if > >все вместе есть via if все правильно, когда адреса пишешь from any to any в случае from any to fake_ip via natd_if все правильно. В случае from any to real_ip (марщрутизация реальных ip) == удвоение from any to real_ip via iif(или oif) =все верно При использовании divert можно наблюдать такой тип траффика internet_ip->natd_ip natd_ip->fake_ip И internet_ip->fake_ip проверено trafd
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw"
	Сообщение от A Clockwork Orange on 14-Янв-04, 15:11 (MSK)
	>>Почему же >>in recv if >>out recv if >>out xmit if >> >>все вместе есть via if > > все правильно, когда адреса пишешь from any to any Имеено это я имел ввиду from any to any > в случае from any to fake_ip via natd_if все правильно. > > В случае from any to real_ip (марщрутизация реальных ip) == удвоение > > from any to real_ip via iif(или oif) =все верно > > > > При использовании divert можно наблюдать такой тип траффика > > internet_ip->natd_ip Согласен, до того как пакет прошел natd Пакет помжно проверить как in recv oif > natd_ip->fake_ip ~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить > > И internet_ip->fake_ip Согласен, после того как пакет прошел natd Пакет можно проверить как out recv oif Самое интересное что порядок правил как до divert так и после divert ничего не меняет. Это касательно oif (как и out xmit iif) > > проверено trafd
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw"
	Сообщение от YuryD on 14-Янв-04, 15:24 (MSK)
	>> natd_ip->fake_ip >~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить Повесить trafd на оба интерфейса и поглядеть ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw"
	Сообщение от YuryD on 14-Янв-04, 15:25 (MSK)
	>>> natd_ip->fake_ip >>~~~~~~~~~~~~~~~~~~~~~~ это как? очень сомеваюсь и не видел, не могу объяснить > > Повесить trafd на оба интерфейса и поглядеть ? Пардон, не прав был, погорячился .... Нету natd_ip->fake_ip
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ipfw"
	Сообщение от A Clockwork Orange on 14-Янв-04, 15:47 (MSK)
	Эти два трафика на внешнем интерфейса?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх