Jump to content

Странная работа POSTROUTING SNAT

list
 Share

Recommended Posts

list

list

Posted
Posted

Доброго всем времени суток.

 

Есть шлюз в интернет. Linux, 2.6.32-279.11.1.el6.i686

 

Интерфейсы:

eth1 - интернет

eth2 - локалка (172.16.15.0/24)

 

На машине включена трансляция адресов:

iptables -t nat -A POSTROUTING -s 172.16.15.0/24 -o eth1 -j SNAT --to-source xxx.xxx.xxx.xxx

 

На интерфейсе eth1 наблюдаю иногда прорывающиеся через NAT пакеты с локальными адресами источника:

# tcpdump -nn -i eth1 net 172.16.15.0/24

15:31:53.770080 IP 172.16.15.186.2027 > 87.240.134.70.80: Flags [F.], seq 0, ack 1, win 17680, length 0

15:31:54.705454 IP 172.16.15.141.55691 > 109.196.45.130.80: Flags [F.], seq 0, ack 1, win 64725, length 0

Их не много, но все-таки напрягают.

 

Похожий вопрос был тут http://www.opennet.ru/openforum/vsluhforumID1/88674.html ,

но найденное решение у меня не работает.

 

Посоветуйте, что за проблема и как ее бороть?

sherwood

sherwood

Posted
Posted

есть такая проблема и у микротика, пролетают некоторые пакеты через нат, пока в фаирворе не заблокируешь инвалидные пакеты, так же замечено, что это у клиентов у которых стоят роутеры, может роутеры пытаются пробросить порты.

bos9

bos9

Posted
Posted

но найденное решение у меня не работает.

это /sbin/iptables -A FORWARD -m state --state INVALID -j DROP ?

 

счетчик conntrack -S | grep invalid не растет?

dmvy

dmvy

Posted
Posted

TCP начинает трансляцию с SYN-пакета. У Вас же в дампе только FIN-пакеты. Это означает, что conntrack закрыл сессию (возможно по timeout), но клиентское ПО/ОС так не считает и шлет пакеты, что надо закрыть сессию и на эти пакеты трансляция не открывается, т.к. не может попасть в conntrack.

list

list

Posted
  • Author
Posted

но найденное решение у меня не работает.

это /sbin/iptables -A FORWARD -m state --state INVALID -j DROP ?

 

счетчик conntrack -S | grep invalid не растет?

 

Разобрался, спасибо всем.

 

счетчик conntrack -S | grep invalid растет;

/sbin/iptables -A FORWARD -m state --state INVALID -j DROP работает;

 

Тупил сам, до этого правила пакеты просто не добирались.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.