Jump to content
Калькуляторы

Различные маршрутизаторы на вход и на выход?

Есть 2 linux-маршрутизатора, 3 аплинка, BGP.

 

Пакет уходит в интернет через один из маршрутизаторов, а возвращается через другой, доходит до машины-отправителя, но по каким-то причинам отбрасывается.

На маршрутизаторах - iptables и quagga.

Есть предположение, что ip_conntrack маршрутизатора принимающего ответный пакет из интернета вносит какие-то изменения в заголовок пакета.

 

Есть ли какие способы отключения трассировки соединений или только пересборка ядра?

 

Или дело вовсе не в iptables?

 

Share this post


Link to post
Share on other sites
Есть 2 linux-маршрутизатора, 3 аплинка, BGP.

 

Пакет уходит в интернет через один из маршрутизаторов, а возвращается через другой, доходит до машины-отправителя, но по каким-то причинам отбрасывается.

На маршрутизаторах - iptables и quagga.

Есть предположение, что ip_conntrack маршрутизатора принимающего ответный пакет из интернета вносит какие-то изменения в заголовок пакета.

 

Есть ли какие способы отключения трассировки соединений или только пересборка ядра?

 

Или дело вовсе не в iptables?

а ната нет нигде случаем?

Share this post


Link to post
Share on other sites

Есть конечно, но не на этих маршрутизаторах, а в глубине сети.

 

схема такая: Источник -> NAT -> BGP-роутер

 

Но нат тут ни при чем. Пробывал то же самое проделать с NAT-сервера - картина та же самая. Пакет доходит, но игнорируется.

 

ICMP проходит без проблем, а вот с tcp и udp - проблема.

Share this post


Link to post
Share on other sites

Оно не должно так работать, но всё же проверьте в sysctl.conf параметр rp_filter.

Есть ли какие способы отключения трассировки соединений или только пересборка ядра?
Цель NOTRACK в таблице raw в iptables.

 

Share this post


Link to post
Share on other sites

rp_filter отключен.

 

Он нужен для отслеживания различных интерфейсов в пределе одной машины, а тут получается что пакеты либо только уходят либо только приходят...

Share this post


Link to post
Share on other sites

Цель NOTRACK в таблице raw в iptables.

+ iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

 

решили проблему.

 

EvilShadow, спасибо за наводку!

Share this post


Link to post
Share on other sites

Как только не извратятся, лишь бы нормальное оборудование не покупать...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this