The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfiter и NAT."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfiter и NAT."  
Сообщение от Jekas email(ok) on 14-Ноя-07, 17:34 
Проблема, не могу настроить NAT в ip не интерфейса. По логам все как бы работает, но коннекта в инет нету. Смотрю на cisco arp таблицу, по идеи я должен увидеть соответствие ip в который начусь и mac интерфейса через который начусь...Но вижу вот это:
Cisco#show arp | include 100.100.100.2
Internet  100.100.100.2          0   Incomplete      ARPA  

Если натится в интерфейс, то все нормально:
Cisco#show arp | include 100.100.100.1
Internet  100.100.100.1          0   0011.965d.375c  ARPA   FastEthernet0/0

тоесть с FreeBsd до нашего роутера я получается добегаю, с правильным реальным адресом..но почему то не отрабатывает arp запрос. Если в cisco в ручную добавить соотвествующую arp запись, то все работает. Ни кто не натыкался на такие грабли? Похоже где-то все таки чего-то не хватает раз FreeBsd не отвечает на arp запрос по IP, который отличный от ip установленного на интерфейсе

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • ipfiter и NAT., Andrew, 18:24 , 14-Ноя-07, (1)  
    • ipfiter и NAT., Jekas, 18:45 , 14-Ноя-07, (2)  
      • ipfiter и NAT., Andrew, 20:17 , 14-Ноя-07, (3)  
        • ipfiter и NAT., Jekas, 20:37 , 14-Ноя-07, (4)  

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfiter и NAT."  
Сообщение от Andrew (??) on 14-Ноя-07, 18:24 
>Похоже где-то все таки чего-то не хватает
>раз FreeBsd не отвечает на arp запрос по IP, который отличный
>от ip установленного на интерфейсе

Действительно чудеса: ip не принадлежит интерфэйсу и бсд не отвечает в сеть, что ip, не принадлежащий ей, принадлежит ей. Скорее всего -- это баг при кодировании ядра бсд: кодировщик, наверное зарплату не получил и потому решил логику работу ядра сделать, как это описано в стандарте, а не как было бы проще при подходе "не понимаю, не знаю, зато курсы закончил, а потому поставил и забыл".

Либо навесте алиас на этот же интерфэйс или пропишите на циске арп руками, фсд не будет вещать в сеть того, чего нет.

PS такой я злой человек.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfiter и NAT."  
Сообщение от Jekas email(ok) on 14-Ноя-07, 18:45 
>[оверквотинг удален]
>что ip, не принадлежащий ей, принадлежит ей. Скорее всего -- это
>баг при кодировании ядра бсд: кодировщик, наверное зарплату не получил и
>потому решил логику работу ядра сделать, как это описано в стандарте,
>а не как было бы проще при подходе "не понимаю, не
>знаю, зато курсы закончил, а потому поставил и забыл".
>
>Либо навесте алиас на этот же интерфэйс или пропишите на циске арп
>руками, фсд не будет вещать в сеть того, чего нет.
>
>PS такой я злой человек.

Спасибо что просвятили, а я и не знал что это так работает. Вот это открытие :) А как же быть с автором этой статьи: https://www.opennet.ru/base/net/ipnat_freebsd.txt.html, тоже в дед сад отправить? Да и в руководстве по ipf ни где не сказано, что при таком NAT нужно еще и дополнительный ip навешивать...Понятное дело что так работать будет. Если все таки это так, то жаль что ipf не располагает достаточным интелектом, и не может "обмануть" операционку... К примеру Cisco Pix фаервол, да и другие подобные железки этого не требуют...Тока не говорите что это же железные решения, заточенные только для этого. Подумал , что у ipf должно хватить интелекта отвечать на подобные arp запросы. Ни чего такого вобщем-то в том что будет висеть много алиасов наверное нет, но как то не совсем красиво... Предложенные вами решения очевидны, могли бы и не утруждать себя их написанием, достаточно было этого предложения : "фсд не будет вещать в сеть того, чего нет"

P.S.: А вообще надо быть добрее :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfiter и NAT."  
Сообщение от Andrew (??) on 14-Ноя-07, 20:17 
О том я и говорил, что вы не совсем понимаете что такое ipf да и как работает сетевой стек в бсд, ipf не получает пакеты 2-ого уровня. Что же касается cisco, то имхо надо сначала изучать как сеть работает, а потом уже слушать на курсах о том, как по мнению маркетологов cisco работает сеть, я не говорю что там безграмотные курсы, все вполне грамотно, но акцент идёт не на понимание железа и технологий, а на заучивание команд, что бы даже самый деревянный смог сдать экзамен. Cisco делает хорошие железки, с помощью которых можно быстро развернуть определённый набор решений и это её плюс, "заточенность под сеть" тут ни при чём, даже я бы сказал, что бсд подольше циски "точилась под сеть". И ещё один плюс у циски, что если на циске что-от сделать нельзя, то этого сделать нельзя, с юниксом же такой ответ приниматься не будет, ибо если что-то нельзя сделать, то вопрос времени что бы это сделать самому -- все инструменты есть.

PS можно, кстати обойтись и без алиаса. Добавить постоянную запись в арп-таблицу бсд и указать ядру, что бы он отвечал на арп-запросы, если такая запись есть в его постоянной арп-таблице, арппрокси, помоему, это называется. Но всегда думайте о том парне -- системном администраторе, что будет после вас и который не совсем понимает, что происходит, да вообще он здесь на полставки, а вы сейчас в постоянную арп-таблицу внесете ип, вот ему жизнь-то покажется веселой... лучше алиас, заодно через полгода самому не надо будет голову ломать, когда понадобится что-то поменять.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfiter и NAT."  
Сообщение от Jekas email(ok) on 14-Ноя-07, 20:37 
>[оверквотинг удален]
>это сделать самому -- все инструменты есть.
>
>PS можно, кстати обойтись и без алиаса. Добавить постоянную запись в арп-таблицу
>бсд и указать ядру, что бы он отвечал на арп-запросы, если
>такая запись есть в его постоянной арп-таблице, арппрокси, помоему, это называется.
>Но всегда думайте о том парне -- системном администраторе, что будет
>после вас и который не совсем понимает, что происходит, да вообще
>он здесь на полставки, а вы сейчас в постоянную арп-таблицу внесете
>ип, вот ему жизнь-то покажется веселой... лучше алиас, заодно через полгода
>самому не надо будет голову ломать, когда понадобится что-то поменять.

Спасибо, но все-таки нужно быть добрее...Скажу честно, у меня нет времени глубоко ковырять системы и приложения...В свое время такая возможность у меня была на другой работе, тогда я занимался администрированием сети и только этой задачей, поэтому прочел много статей, получил много опыта и приницпы работы знаю хорошо. Кстати на курсах по циске я не был.  FreeBsd я знаю по столько по скольку, на уровне настроить squid, postfix и прочие распространенные задачи...Вы меня просто зацепили за самолюбие, ну знаете вы что-то лучше других, но на то это и форум - дело добравольное, если вас раздражает что-то в том или ином топике, может лучше просто промолчать. Зато я уверен вы не знаете как отрегулировать ленточный тормоз на АКПП автомобиля :)...
Будьте добрее и увидите люди начнут улыбаться вам...Тема закрыта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру