AK
"лишний" НАТ. Ваше правило без "побочек" будет работать только если локалка одна.
почему одна, там сплошные VLAN'ы из любой маскарадит
Size: a a a
2020 October 30
VP
VP
почему одна, там сплошные VLAN'ы из любой маскарадит
А маскарадить НУЖНО только то, что имеет такой же соурс сети, как и дестанейшен. Остальное не нужно.
LT
А маскарадить НУЖНО только то, что имеет такой же соурс сети, как и дестанейшен. Остальное не нужно.
Я думал маскарадить приходится ещё на этапе до того как прошёл дст-нат
AK
А маскарадить НУЖНО только то, что имеет такой же соурс сети, как и дестанейшен. Остальное не нужно.
насколько я понимаю смысл hairpin'а, маскарадить нужно все, что пришло на роутер из локала, но dstnat'ится в локал же, чтобы ответные пакеты шли на роутер, а не непосредственно на адрес первоначального отправителя
TS
jscar знаменитость
VP
насколько я понимаю смысл hairpin'а, маскарадить нужно все, что пришло на роутер из локала, но dstnat'ится в локал же, чтобы ответные пакеты шли на роутер, а не непосредственно на адрес первоначального отправителя
Вы понимаете не правильно. Если, к примеру, у Вас обращение на внешний адрес идет из сети 192.168.1.0/24 а проброс настроен, скажем, на хост 10.0.0.15, то зачем использовать соурснат?
VP
Я думал маскарадить приходится ещё на этапе до того как прошёл дст-нат
Думаете не правильно. И таблицу прохождения пакетов ленитесь смотреть. )
VP
Августейшая особа!
AK
Вы понимаете не правильно. Если, к примеру, у Вас обращение на внешний адрес идет из сети 192.168.1.0/24 а проброс настроен, скажем, на хост 10.0.0.15, то зачем использовать соурснат?
чтобы ответный пакет с 10,0,0,15 вернулся на роутер и дальше был переслан в 192,168,1,0/24 с соответствующей заменой адресов, которая в conn track'е ведется, если 10,0,0,15 пошлет непосредственно в 192,168,1,0/24, то принимающая сторона его не примет, т.к. не ждет на этот порт пакета с 10,0,0,15
LT
Думаете не правильно. И таблицу прохождения пакетов ленитесь смотреть. )
Я пытаюсь держать в голове, но не всегда выходит😅
Да и если вот с действиями типа src-nat или dst-nat можно понять что они делают, то вот как работают цепочки в нате?
Да и если вот с действиями типа src-nat или dst-nat можно понять что они делают, то вот как работают цепочки в нате?
VP
чтобы ответный пакет с 10,0,0,15 вернулся на роутер и дальше был переслан в 192,168,1,0/24 с соответствующей заменой адресов, которая в conn track'е ведется, если 10,0,0,15 пошлет непосредственно в 192,168,1,0/24, то принимающая сторона его не примет, т.к. не ждет на этот порт пакета с 10,0,0,15
У Вас категорически не верное понимание процесса. )
TS
У Вас категорически не верное понимание процесса. )
Лучше объясните ему, в чем его ошибка)
TS
Вот он щас башкой об стол бьётся, как я, а так подхватит и сам поймёт
VP
Я пытаюсь держать в голове, но не всегда выходит😅
Да и если вот с действиями типа src-nat или dst-nat можно понять что они делают, то вот как работают цепочки в нате?
Да и если вот с действиями типа src-nat или dst-nat можно понять что они делают, то вот как работают цепочки в нате?
Имея слово "linux" в нике, писать что в НАТ есть цепочки не стыдно? )
LT
Лучше объясните ему, в чем его ошибка)
Это часть процесса объяснения))
ГП
Имея слово "linux" в нике, писать что в НАТ есть цепочки не стыдно? )
Вам в 2020 не стыдно писать про стыд?
LT
Имея слово "linux" в нике, писать что в НАТ есть цепочки не стыдно? )
Окей в правилах IP firewall nat. И я категорически плохо знаком с реализацией сетевого стека на линуксе. Пока что..)
VP
Вот он щас башкой об стол бьётся, как я, а так подхватит и сам поймёт
Так не надо биться. Надо понимать базу - когда хост может обращаться к другому хосту напрямую, а когда через маршрутизатор.
AK
У Вас категорически не верное понимание процесса. )
