Jump to content

IPTABLES Snat Часть пакетов не натиться

sirmax
 Share

Recommended Posts

sirmax

sirmax

Posted
Posted

Странная ситуация, часть пакетов - не попадает под нат, вернее, не натиться.

 

Т.е. во внешний мир уходят пакеты с фейками.

Ошибки в правилах нет, это 100%, т.к. таких пакетов - доли процента.

 

в основном - судя по tcpdump - это ICMP ttl exceeded и http

 

Собственно, таких пакетов - 2-10 в секунду на 150мбитном аплинке,

но откуда они и почему для них не отрабатывает НАТ понять я не могу.

 

Второе - как отфильтровать такие пакеты, что б их не было совсем...

НАТ делается в POSTROUTING... последняя цепочка как я понимаю.

 

Осознаю что вопрос дурацкий... но может кто сталкивался?

DemYaN

DemYaN

Posted
Posted

Проблема бородатая. Года 2 назад писал в багтрекер netfilter'а. Но ответа так и не последовало, а потом и багтрекер прикрыли.

 

sirmax

sirmax

Posted
  • Author
Posted
Зарезать на бордере ? коли на нате не получилсь ?
нат на бордере и есть.

как зарезать - не зняю, насколько я понимаю логику работы Iptables после POSTROUTING фильтровать нельзя.

 

Впрочем, давно собирался разнести нат и бордер по разным машинам...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.