Жизнь пакета (IPchains)
Добавлено: 30 мар 2007, 14:33
Схема такая:
Есть FireWall
eth0 - смотрит в подсеть 10.200.2.0/24
eth1 - смотрит в подсеть 192.168.2.0/24
Включен Masquerading
Машина с адресом 192.168.2.3 отправляет пакет машине 10.202.2.5
(допустим на порт 100) и получает ответ.
У меня вопрос непростой, но очень меня интересующий - что же
происходит с пакетом (его путь) на FireWall и в дебрях IPchains.
Попытаюсь описать как я это понимаю, в меру своей неопытности,
опытные люди меня поправте или дополните.
1. Пакет уходит с 192.168.2.3 предназначен для 10.202.2.5
2. Т.к. адреса -s (source) и -d (destination) пакета не находятся
в одной сетке, то пакет отправляется на gateway (192.168.2.1 - eth1 FireWall).
3. Пакет входит в систему FireWall (определяется как входящий).
Пакет входит в систему с интерфейса eth1.
4. Проверяется на CRC и т.д. (все ОК).
5. Во входной цепочке (Input) есть правило разрешающее прохождение этого пакета.
6. Пакет поадает в цепочку продвижения (Forward) и там для него правило маскарадинга.
7. Пакет попадает в выходную цепочку (Output), т.к. становится исходящим из системы
(Цепочка его пропускает).
8. Пакет уходит через eth0 в подсеть 10.200.2.0/24
9. 10.202.2.5 получает пакет. Отвечает.
10.Пакет идет с 10.202.2.5 на FireWall и становится входящим.
11.Проверка на CRC и попадает во входную цепочку (Input) (разрешает).
12.Попадает в цепочку продвижения (Forward) (демаскарадинг).
13.Пакет становится исходящим и попадает в цепочку Output (разрешает).
14.Через eth1 уходит в сеть 192.168.2.0/24
15.Хост 192.168.2.3 принимает ответ.
Есть еще одно не понятное мне из теори:
[Правила входной и выходной цепочек применяются ко всем и каждому интерфейсу системы!]
значит к eth0 и eth1? Получается пакет в одну сторону проходит 5 цепочек ?
2 раза входную 2 раза выходную и 1 раз продвижения ?
А когда возвращается ответ опять проходит 5 цепочек ?
Объясните пожалуйста как это понять?
Спасибо.
Доброго дня!
Есть FireWall
eth0 - смотрит в подсеть 10.200.2.0/24
eth1 - смотрит в подсеть 192.168.2.0/24
Включен Masquerading
Машина с адресом 192.168.2.3 отправляет пакет машине 10.202.2.5
(допустим на порт 100) и получает ответ.
У меня вопрос непростой, но очень меня интересующий - что же
происходит с пакетом (его путь) на FireWall и в дебрях IPchains.
Попытаюсь описать как я это понимаю, в меру своей неопытности,
опытные люди меня поправте или дополните.
1. Пакет уходит с 192.168.2.3 предназначен для 10.202.2.5
2. Т.к. адреса -s (source) и -d (destination) пакета не находятся
в одной сетке, то пакет отправляется на gateway (192.168.2.1 - eth1 FireWall).
3. Пакет входит в систему FireWall (определяется как входящий).
Пакет входит в систему с интерфейса eth1.
4. Проверяется на CRC и т.д. (все ОК).
5. Во входной цепочке (Input) есть правило разрешающее прохождение этого пакета.
6. Пакет поадает в цепочку продвижения (Forward) и там для него правило маскарадинга.
7. Пакет попадает в выходную цепочку (Output), т.к. становится исходящим из системы
(Цепочка его пропускает).
8. Пакет уходит через eth0 в подсеть 10.200.2.0/24
9. 10.202.2.5 получает пакет. Отвечает.
10.Пакет идет с 10.202.2.5 на FireWall и становится входящим.
11.Проверка на CRC и попадает во входную цепочку (Input) (разрешает).
12.Попадает в цепочку продвижения (Forward) (демаскарадинг).
13.Пакет становится исходящим и попадает в цепочку Output (разрешает).
14.Через eth1 уходит в сеть 192.168.2.0/24
15.Хост 192.168.2.3 принимает ответ.
Есть еще одно не понятное мне из теори:
[Правила входной и выходной цепочек применяются ко всем и каждому интерфейсу системы!]
значит к eth0 и eth1? Получается пакет в одну сторону проходит 5 цепочек ?
2 раза входную 2 раза выходную и 1 раз продвижения ?
А когда возвращается ответ опять проходит 5 цепочек ?
Объясните пожалуйста как это понять?
Спасибо.
Доброго дня!
