sirmax Опубликовано 17 декабря, 2008 · Жалоба Странная ситуация, часть пакетов - не попадает под нат, вернее, не натиться. Т.е. во внешний мир уходят пакеты с фейками. Ошибки в правилах нет, это 100%, т.к. таких пакетов - доли процента. в основном - судя по tcpdump - это ICMP ttl exceeded и http Собственно, таких пакетов - 2-10 в секунду на 150мбитном аплинке, но откуда они и почему для них не отрабатывает НАТ понять я не могу. Второе - как отфильтровать такие пакеты, что б их не было совсем... НАТ делается в POSTROUTING... последняя цепочка как я понимаю. Осознаю что вопрос дурацкий... но может кто сталкивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 17 декабря, 2008 · Жалоба предположение - из-за ассиметричного роутинга, есть 2 FULL-VIEW Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 17 декабря, 2008 · Жалоба Тоже встречаю такое... А причем тут 2 FV? Если нат выполняется на других серверах, которые про бгп даже не слышали... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 17 декабря, 2008 · Жалоба Проблема бородатая. Года 2 назад писал в багтрекер netfilter'а. Но ответа так и не последовало, а потом и багтрекер прикрыли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 17 декабря, 2008 · Жалоба ;) типа не мешает жить сильно и ладно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 17 декабря, 2008 · Жалоба Мне не мешает, аплинку не нравится что ему фейки попадают... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 декабря, 2008 · Жалоба Зарезать на бордере ? коли на нате не получилсь ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 17 декабря, 2008 · Жалоба Зарезать на бордере ? коли на нате не получилсь ?нат на бордере и есть.как зарезать - не зняю, насколько я понимаю логику работы Iptables после POSTROUTING фильтровать нельзя. Впрочем, давно собирался разнести нат и бордер по разным машинам... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beginner Опубликовано 17 декабря, 2008 · Жалоба А вы коммутатором их, коммутатором! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 17 декабря, 2008 · Жалоба А вы коммутатором их, коммутатором! А ведь светлая мысль ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...