Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[FreeBSD] Входящие соединения на "недефолтовый" интерфейс 22.09.06 21:30
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Отредактировано 22.09.06 21:32 Количество правок: 1
|
Встал передо мною один вопросик...
Вот здесь:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=136895
я описывал то, что хотел сделать. Сделал, работает уже с месяц.
В машине имеется туча интерфейсов. Для всех известных мне сетей прописаны статические маршруты; естественно, есть и дефолтный.
Ситуация: соединение из не описанной в статических мршрутах сети на интерфейс, не "смотрящий" на маршрутизатор , заданный по умолчанию. Естественно, ответ пойдет через дефолтовый со всеми вытекающими.
Ткните, в каком направлении рыть, чтобы все пакеты установленного (устанавливаемого) соединения бегали через интерфейс, на который пришел запрос на соединение. Какие для этого средства использовать? В ipfw есть нужный функционал, или нужно сверху прикручивать что-то еще? Я даже толком погуглить затрудняюсь - не могу конкретно сформулировать вопрос.
В общем, покажите, в какую сторону бежать - а дальше уж я сам. Вопрос-то, по идее, тривиальный...
|
|
Думаю, надо рыть в направлении протоколов динамической маршрутизации. 25.09.06 13:48
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 25.09.06 13:49 Количество правок: 1
|
|
|
| |
А чем они помогут? 25.09.06 16:28
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
|
Мне не нужно решать задачу выбора мршрута в зависимости от состояния канала. Мне нужно понять, откуда пришел коннект, проброшенный в DMZ через форвардинг портов в natd, чтобы в ответ пакеты пошли через тот же интерфейс... Что-то есть у меня подозрение, что решения именно этого конкретного вопроса просто-напросто нет.
|
|
[FreeBSD] Часть проблемы решена. 24.09.06 15:06
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Отредактировано 25.09.06 13:15 Количество правок: 1
|
В ipfw достаточно использовать директивы вида
ipfw add 1000 fwd prov1_gw all from if1_ip to any out
Если соединение происходит с сервисом, находящимся на этом шлюзе - то никаких проблем не возникает.
Хуже дело обстоит, если соединение проходит на порт, перенаправленный средствами NAT внутрь DMZ (через redirect_port). Все пакеты, идущие обратно, все равно будут заворачиваться через шлюз по умолчанию, ибо адрес интерфейса шлюза, на который приходили запросы, в этих пакетех никак не фигурирует.
Таким образом, на один из вопросов - "кто виноват?" - я уже ответ нашел. Теперь осталось резобраться и со вторым - "Что делать?" :)))
|
|
|
подробно о проекте
Анализ криптографических сетевых...
