classic.ISPforum.cz

Dobrý den,

velice rád bych Vás poprosil o vysvětlení tohoto pravidla, které je umístěno v tabulce mangle:


Vždy jsem si myslel, že když paket přiletí z Internetu na router, tak se nejprve dostane do preroutingu. Pak se dále určí, zda je paket určen pro tento stroj (INPUT) a nebo zda je určen pro jiný stroj(FORWARD).

Chtěl bych označit download z Internetu pomocí preroutingu. Jelikož se jedná o download, tak bych počítal s tím, že do pravidla uvedu cílovou adresu. Nebo to tak není?

Děkuji Vám.

VDR

VDR píše:Dobrý den,

Kód: Vybrat vše

chain=prerouting action=mark-packet new-packet-mark=a_up passthrough=yes src-address=192.168.1.12

chain=postrouting action=mark-packet new-packet-mark=a_down passthrough=yes dst-address=192.168.1.12


Tipnul bych, ze mas prohozenej pre a post routing v tomhle prikladu. nebot kdyz prijde packet z netu, jde na prerouting, ale urcite nema src addr v privatnim rozshu, ale bude mit dst addr verejnou adresu routeru. stejne tak druha cast,.. packet odchazi z routery, ale urcite nesmeruje na privatni adresu, ale odchazi z verejne adresy routeru (samozrejme pokud rotuer natuje). tzn bych rekl, ze kdyz prohodis pre a post routing v tvem prikladu bude ti to chodit. (neprohazuj src a dest addr nebot pak bys mel obracene up a down..)

Takto napsané pravidlo je zcela funkční na routeru, kde provádím SRC-NAT.

A právě proto mi jde o vysvětlení. Protože nemohu stále pochopit proč to tak je.

VDR píše:Takto napsané pravidlo je zcela funkční na routeru, kde provádím SRC-NAT.

A právě proto mi jde o vysvětlení. Protože nemohu stále pochopit proč to tak je.

vzdit je to taky pouze oznacovani paketu jeden je src a druhej dst tedy prichozi a odchozi ale jenom mi neni jasne proc zatrhavas passthrough

bena píše:

VDR píše:Takto napsané pravidlo je zcela funkční na routeru, kde provádím SRC-NAT.

A právě proto mi jde o vysvětlení. Protože nemohu stále pochopit proč to tak je.

vzdit je to taky pouze oznacovani paketu jeden je src a druhej dst tedy prichozi a odchozi ale jenom mi neni jasne proc zatrhavas passthrough

To sice ano, ale měl jsem vždy za to, že první co paket potká když přiletí z Internetu je prerouting a tudíž bych měl v uvedeném příkladě označovat dst address.

VDR píše:To sice ano, ale měl jsem vždy za to, že první co paket potká když přiletí z Internetu je prerouting a tudíž bych měl v uvedeném příkladě označovat dst address.

No, to jsi bohuzel nepochopil zcela presne - takze, rekneme to jinak. Prvni, co paket potka, kdyz prileti Z KTEREKOLI STRANY do routeru je prerouting...

Ber to tak, ze tomu routeru je sumafuk, co je pripojene na ktery interface, on nevi, co je internet, co je intranet a co je odbocka do koupelny. Prislo to zvenku - takze je to prerouting. Odchazi to zase z routeru ven - je to postrouting - bez ohledu na to, jestli "ven" je do internetu, nebo do vnitrni site.

Routery jsou holt egocentricke.

chain=prerouting action=mark-packet new-packet-mark=a_up passthrough=yes src-address=192.168.1.12

Uvedene pravidlo znackuje pakety (evidentne) odchazejici ven z vnitrni site do internetu, konkretne z hostu 192.168.1.12.

chain=postrouting action=mark-packet new-packet-mark=a_down passthrough=yes dst-address=192.168.1.12

Uvedene pravidlo znackuje (opet vychazejme z privatni adresy) prichazejici z internetu skrz router do vnitrni site, opet pro host 192.168.1.12.

What is secure in the Internet? Linux.

A tohle jsi bohuzel take moc nepochopil. Jedine, co je bezpecne na internetu je kvalitne administrovana technologie, bez ohledu na to, jaky system na ni bezi. Koukal bys, jak se napriklad administratori Solarisu kralovsky bavi nad hrackou oznacovanou jako "Linux"

pao píše:

VDR píše:To sice ano, ale měl jsem vždy za to, že první co paket potká když přiletí z Internetu je prerouting a tudíž bych měl v uvedeném příkladě označovat dst address.

No, to jsi bohuzel nepochopil zcela presne - takze, rekneme to jinak. Prvni, co paket potka, kdyz prileti Z KTEREKOLI STRANY do routeru je prerouting...

Ber to tak, ze tomu routeru je sumafuk, co je pripojene na ktery interface, on nevi, co je internet, co je intranet a co je odbocka do koupelny. Prislo to zvenku - takze je to prerouting. Odchazi to zase z routeru ven - je to postrouting - bez ohledu na to, jestli "ven" je do internetu, nebo do vnitrni site.

Routery jsou holt egocentricke.

chain=prerouting action=mark-packet new-packet-mark=a_up passthrough=yes src-address=192.168.1.12

Uvedene pravidlo znackuje pakety (evidentne) odchazejici ven z vnitrni site do internetu, konkretne z hostu 192.168.1.12.

chain=postrouting action=mark-packet new-packet-mark=a_down passthrough=yes dst-address=192.168.1.12

Uvedene pravidlo znackuje (opet vychazejme z privatni adresy) prichazejici z internetu skrz router do vnitrni site, opet pro host 192.168.1.12.

What is secure in the Internet? Linux.

A tohle jsi bohuzel take moc nepochopil. Jedine, co je bezpecne na internetu je kvalitne administrovana technologie, bez ohledu na to, jaky system na ni bezi. Koukal bys, jak se napriklad administratori Solarisu kralovsky bavi nad hrackou oznacovanou jako "Linux"

Díky za objasnění těchto pojmů.