Skocz do zawartości

Web Hosting Talk

  • arubacloud.pl

    Partner technologiczny

    Aruba Cloud jest marką usług cloud na rynku europejskim. Została stworzona w celu dostarczenia firmom kompleksowych rozwiązań Cloud niezależnie od ich planów i projektów.

 

Zdjęcie

IPTABLES - droga pakietu

IPTABLES - droga pakietu

  • Proszę się zalogować aby odpowiedzieć
2 odpowiedzi na ten temat

IPTABLES - droga pakietu

#1 mariuszad

mariuszad

    Nowy użytkownik

  • Użytkownicy
  • 12 postów

Napisany 19 maj 2017 - 10:21

Witam

 

Chcę się upewnić co do poprawności mojego toku rozumowania w kolejności przepływu pakietów przez iptables. Dlatego zwracam się z prośbą do Was  o poprawienie mnie jeżeli gdzieś coś palnę. Zależy mi na trzech przypadkach. Załóżmy, że serwer DNS pełni również funkcję routera.

 

Przypadek1. Zapytanie, które przychodzi z internetu do serwera DNS pokonuje po kolei drogę: 

Zapytanie: PREROUTING (tablice raw, mangle,nat) ->decyzja o routingu->INPUT(tablice mangle, input)->proces lokalny (np DNS)

Odpowiedż następuje na podstawie danych zapisanych w nagłówku pakietu czyli nie ma ponownej potrzeby "decyzji  o routingu" i pakiet kierowany jest do łańcucha OUTPUT (tablice raw, mangle, nat,filter) a następnie do łańcucha POSTROUTING (tablice mangle,nat) i następuje wysłanie odpowiedzi.

 

Przypadek 2 zapytanie pochodzi z komputera w sieci LAN do internetu.

Zapytanie . Wysyłane jest przez łańcuch FORWARD (mangle,filter)->decyzja o routingu-> OUTPUT (tablice raw, mangle, nat,filter) -> POSTROUTING (tablice mangle,nat) i następuje wysłanie zapytania.

Odpowiedź PREROUTING (tablice raw, mangle,nat)->decyzja o routingu->FORWARD (mangle,filter)->komp1

 

Przypadek 3 zapytanie i odpowiedź wewnątrz sieci LAN

Zapytanie pochodzi z komp1 w sieci LAN. Wysyłane jest przez łańcuch FORWARD (mangle,filter)->decyzja o routingu->OUTPUT (tablice raw, mangle, nat,filter) - komp2.

Odpowiedź: komp2->FORWARD (mangle,filter)->OUTPUT(tablice raw, mangle, nat,filter)-komp1

 

Trzeci przypadek zakłada, że oba komputery znajdują się w tej samej sieci. Gdyby były w różnych podsieciach to zakładam że doszłaby jeszcze "decyzja o routingu"?  Czy się mylę ?

 

Pozdrawiam

mariusz

 

 

 


  • 0

#2 volt123

volt123

    Czasami na forum

  • Użytkownicy
  • 48 postów
  • Firma:Domeny.pl [konto prywatne]
  • Imię:Damian

Napisany 19 maj 2017 - 21:26

Trzeci przypadek zakłada, że oba komputery znajdują się w tej samej sieci. Gdyby były w różnych podsieciach to zakładam że doszłaby jeszcze "decyzja o routingu"?  Czy się mylę ?

Masz rację. Żeby dwie oddzielne podsieci komunikowały się ze sobą, musisz ustawić na routerze odpowiednie zasady routingu (ip route). Potem ustawiasz odpowiednie zasady w iptables z adresami i maskami aby zezwalały na ten ruch.

 

Jak router zrobiłeś sobie z komputera z linuchem, to możesz podłączyć na kilka sposobów dodatkowe sieci:

1. 2x NIC

2. dopisując dodatkowy adres do interfejsu,

3. stawiając VLAN-y https://en.wikipedia...iki/IEEE_802.1Q (wymagany trunking na switchu)

 

Strukturę iptables masz tu - http://www.iptables....f-iptables.html


  • 0

#3 mariuszad

mariuszad

    Nowy użytkownik

  • Użytkownicy
  • 12 postów

Napisany Wczoraj, 09:08

Ok - dziękuję. 


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników