Re: Linux und NAT Loopback
Von: Oliver Schad (nospam.spam.entfernen@oschad.de) [Profil]
Datum: 29.09.2008 12:02
Message-ID: <6kbndqF70pj4U1@mid.dfncis.de>
Newsgroup: de.comp.os.unix.networking.misc
Datum: 29.09.2008 12:02
Message-ID: <6kbndqF70pj4U1@mid.dfncis.de>
Newsgroup: de.comp.os.unix.networking.misc
Peter Mairhofer schrieb: > Oliver Schad schrieb: >> Soweit ich mich erinnere passiert folgendes: Linux schickt ein >> ICMP-Redirect bei sowas. D.h. die interne Station benutzt dann nicht >> den Router, sondern adressiert direkt die Empfangsstation. >> >> Die Empfangsstation wiederum kann nicht erkennen, dass ein >> ICMP-Redirect gesendet wurde, d.h. adressiert die ursprünglich >> sendende Station ebenso direkt. > > Ja, so wäre es natürlich optimal. Aber das passiert nicht. (mit > tcpdump wird auch nichts angezeigt). Wieso auch? Die ICMP Meldungen > werden doch eher aufgrund von Daten der Routingtabelle verschickt und > (i.d.R.) nicht über iptables Regeln. Nein, Netfilter macht das. >> D.h. deine Umschreiberei funktioniert nur für das DNAT, die >> SNAT-Regel sollte niemals durchlaufen werden. > > Doch wird sie aber. > > Verwende ich nur das DNAT geht es nicht. Erst nachdem ich SNAT > dazugeschaltet habe funktioniert es. Ok. > Insofern auch klar: Ich verschicke von intern ein Paket an die > öffentliche IP des Routers und will dass diese wieder zurück ins Netz > geht. Dann hat diese die öffentliche des Routers als Ziel und die > interne als Absenderadresse. Das scheint dann der Grund zu sein nehme ich an. > Diese Konstellation läuft nun seit einer Woche. Schön ist sie > natürlich nicht, aber ich denke es funktioniert. Ich würde dann Pakete mit --set-mark markieren, dann weißt du, was du erst durch DNAT geschickst hast, wenn die SNAT-Regel greift. mfg Oli -- Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.[ Auf dieses Posting antworten ]
Antworten
- Martin Mayer (29.09.2008 13:36)
- Oliver Schad (29.09.2008 18:40)