Jaily a jedna IP

Miroslav Lachman 000.fbsd at quip.cz
Thu Jan 28 19:40:38 CET 2010


Miroslav Prýmek wrote:

[...]

> Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
> by melo prvne projit tap0 a potom fxp0 (kde se natuje).

V zaslanych pravidlech se neNATuje.

> Mam trochu podezreni, ze nejak spatne chapu fungovani sitovyho stacku nebo co,
> protoze jsem mel za to, ze kdyz jail nevidi IP toho fxp0 (to bylo v predchozim mailu
> zvyrazneny), tak primo z nej ani nemuze nic posilat. Jedina IP, kterou vidi,
> je ta na tap0.
>
> To, co se objevilo v logu, je podle me packet PO NATOVANI (proto je fxp0 jako zdroj),
> takze nejpravdepodobnejsi mi prijde, ze PF proste paket jdouci pres tap0 vubec nevidi
> (coz je mozna feature, nevim, proto se ptam :)

Kdyz se bavime o PF, tak bych doporucil rozlisovat od sebe vyrazy NAT 
(natovani) a RDR (redirection / port forwarding). V terminologii PF se 
kazde pouziva pro jiny smer, takze aby pak nedochazelo k nedorozumeni.

V uvedenych pravidlech NAT nikde neni (nebo aspon ja ji nevidim), je tam 
jen RDR.

Jinak ano, PF preklada adresu na tom interface, ktery je uveden v 
konfiguraci.

"Also be aware that since translation occurs before filtering, the 
filter engine will see the translated packet with the translated IP 
address and port as outlined in How NAT Works."
http://www.openbsd.org/faq/pf/nat.html#works
http://www.openbsd.org/faq/pf/rdr.html

Takze nez to budeme probirat dal - skutecne byla zaslana pravidla 
kompletni? Mozna by nebylo od veci poslat vystup:

pfctl -nvf /etc/pf.conf

Nebo se podivat sam na vypis skutecne pracujicich pravidel

pfctl -s nat && pfctl -s rules && pfctl -s Interfaces -v

Mirek


More information about the Users-l mailing list