Jump to content
Калькуляторы

IPTABLES Snat Часть пакетов не натиться

Странная ситуация, часть пакетов - не попадает под нат, вернее, не натиться.

 

Т.е. во внешний мир уходят пакеты с фейками.

Ошибки в правилах нет, это 100%, т.к. таких пакетов - доли процента.

 

в основном - судя по tcpdump - это ICMP ttl exceeded и http

 

Собственно, таких пакетов - 2-10 в секунду на 150мбитном аплинке,

но откуда они и почему для них не отрабатывает НАТ понять я не могу.

 

Второе - как отфильтровать такие пакеты, что б их не было совсем...

НАТ делается в POSTROUTING... последняя цепочка как я понимаю.

 

Осознаю что вопрос дурацкий... но может кто сталкивался?

Share this post


Link to post
Share on other sites

предположение - из-за ассиметричного роутинга, есть 2 FULL-VIEW

Share this post


Link to post
Share on other sites

Тоже встречаю такое...

А причем тут 2 FV? Если нат выполняется на других серверах, которые про бгп даже не слышали...

Share this post


Link to post
Share on other sites

Проблема бородатая. Года 2 назад писал в багтрекер netfilter'а. Но ответа так и не последовало, а потом и багтрекер прикрыли.

 

Share this post


Link to post
Share on other sites

Мне не мешает, аплинку не нравится что ему фейки попадают...

 

Share this post


Link to post
Share on other sites

Зарезать на бордере ? коли на нате не получилсь ?

Share this post


Link to post
Share on other sites
Зарезать на бордере ? коли на нате не получилсь ?
нат на бордере и есть.

как зарезать - не зняю, насколько я понимаю логику работы Iptables после POSTROUTING фильтровать нельзя.

 

Впрочем, давно собирался разнести нат и бордер по разным машинам...

Share this post


Link to post
Share on other sites

А вы коммутатором их, коммутатором!

А ведь светлая мысль )

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this