Sunday, December 27, 2009

Port forwarding

"Connecting to the external address of the firewall from a host on the LAN, does not mean the packets will actually pass through its external interface. The TCP/IP stack on the firewall compares the destination address of incoming packets with its own addresses and aliases and detects connections to itself as soon as they have passed the internal interface. Such packets do not physically pass through the external interface, and the stack does not simulate such a passage in any way."

Поэтому тестирование порт-форвардинга из локальной сети может не сработать. Есть и способы пофиксить.

9 comments:

  1. Да оно и не работало никогда. Я наоборот, недавно попробовал и удивился что сработало на каком-то линксисе.

    ReplyDelete
  2. после того, как pf под фряхой наотрез отказался натить tun0 в tun1, я перестал воспринимать бсд-системы даже в качестве основы для дешевых роутеров.

    ReplyDelete
  3. наверное, все же мы его тогда неправильно приготовили :) я не верю, что он не умеет

    ReplyDelete
  4. хотелось бы в это верить. однако ж коллективный разум ЛОРа и опеннета не осилил проблему. и "ацкий тру-опенбсдшник" toxa тоже не осилил, отпезднувшись словами "на самом деле, проблема элементарна, но я не буду помогать". так что мой выбор - iptables :)

    ReplyDelete
  5. >хотелось бы в это верить
    в смысле, что он умеет :)

    ReplyDelete
  6. пруф найти? ;)
    на самом деле, я даже рад - смог избавиться от фряхи на последнем из администрируемых мной серверов. кстати, а сейчас не подскажешь, почему хваленый pf не может занатить один тун в другой? ;)

    ReplyDelete
  7. дык я не уверен, что не может

    ReplyDelete
  8. я надеюсь, что может. но те рулесы, которые делают нат tun->eth, не работают в tun->tun. а маскарадингу в iptables пофигу, какой интерфейс стоит в -o

    ReplyDelete