[Discuss] connection tracking? Problem!

(spam-protected) (spam-protected)
Sa Mär 31 01:56:20 CEST 2007


Okay aber warum funktioniert es, dass die ping Pakete an den Router an
seine 0xFF IP mit dieser NAT Regel
MASQUERADE  all  --  any    vlan1   anywhere             anywhere
und default via dev vlan1
zürück kömmen.
Jedoch nicht wenn sie an die 0xFF IP seines nächsten Routers ans Tap
Interface gegangen sind. (Der bei Eingang am Tap Interface ebenfalls nicht
die Default Route oder Nat Regel verwendet, sondern über 0xFF IP und
richtige Tap Device).
Die Angabe des Source-Netzes hätte doch zur Folge, das Clients die auf dem
nächsten Router hängen, wenn dieser keine WAN Verbindung hat, nicht über
den default Gateway am vlan1 (WAN) ins Internet kommen würden (da durch
NAT ja eine 0xFF IP Source ist), sondern über den Tunnel, was ja nicht
erwünscht ist. Das soll nur passieren wenn die 0xFF IP von außen erreicht
worden ist.
geht:
Ping(von any)->Sandwich->0xFF-Router1
Ping(an any)<-Sandwich<-0xFF-Router1
geht nicht:
Ping(von any)->Sandwich->0xFF-Router1->0xFF-Router2
Ping(an any)<-Sandwich<-0xFF-Router1<-0xFF-Router2
ich denke weil das passiert:
Ping(von any)->Sandwich->0xFF-Router1->0xFF-Router2
versuch mit Default(wan)<-0xFF-Router1<-0xFF-Router2
aber wieso, bzw. wie nicht.
Ganz hab ich das noch nicht verstanden oder rausgefunden.
Oder es liegt an etwas anderem. Gibt es eine Möglichkeit zu sehen was beim
Routing gerade so passiert. Bei den vielen Regeln ist es schon schwierig
die Übersicht zu behalten ob das was passieren sollte auch passieren wird.

Und danke für die Antworten.. .

Alex

> On Fri, 2007-03-30 at 15:52 +0200, datacop (Clemens Hopfer) wrote:
>> bei mir und bei bernhard in perchtoldsdorf funktioniert meine Lösung
>> recht gut.
>
> Das hab ich nicht bezweifelt.
>
>> der Trick ist das source-netz bei der iptables NAT Regel anzugeben,
>> somit kann nur mehr traffic aus diesem Subnetz (LAN) direkt gehen und
>> der Rest muss über die default route vom sandwich.
>
> Danke, jetzt hab ich begriffen, warum es funktioniert.
> Hmm, auch wahr, auch eine Lösung.
>
> 	Bernd
> --
> Firmix Software GmbH                   http://www.firmix.at/
> mobil: +43 664 4416156                 fax: +43 1 7890849-55
>           Embedded Linux Development and Services






Mehr Informationen über die Mailingliste Discuss