On 06-May-02 11:09, Andras HORVATH wrote: > > Tehat az elkepzeles: jon a csomag 10.8-as source IP-vel a tun0-n, fw > > tovabbloki a routernek, router kitalalja, hogy internet fele, vagy masfele > > kuldje. Ha internet fele, akkor visszaloki a fw-nak, aki ezt tovabbkuldi > > az internet fele. Az internetrol erkezo valasz meg mehet a tun0-n vissza. > > ehhez miert kell policy routing? Cel-ip szerint miert nem jo ezeket a > csomagokat routolni?
A router a cel ip szerint routol. De a routeren kivul senki nem ismeri az epp aktualis cel ip tartomanyokat. A belso halobol mindenki a routert hasznalja default gw-kent. A tuzfalra mar csak az internet fele halado forgalom kerul. Ez volt eddig, a VPN ebbe belekavar. Nekem az lenne az egyszeru, ha a VPN forgalma a tuzfalrol (ahova megerkezik) ugyanugy a routerre menne, mint minden mas, a belso halobol erkezo forgalom. > > Mit fog szolni a tuzfal, hogyha o kikuld egy csomagot a belso haloba, > > sajat forras IP cimmel, es utana az a csomag visszaerkezik ohozza, es > > tovabb kell kuldenie? Nem gaz? > > ez nem fogja zavarni (modulo rp_filter), de csunya, gany, es sok > szivashoz vezet a kesobbi debuggolasok folyaman (raadasul pazarlod a > savszelesseget is). Miert nem dontotte el elso korben, hogy merre kuldje > a csomagot, ha megvan neki ez az informacio? Mitol fogja masodik korben > jobban tudni? A tuzfal nem tudja elso korben, es masodik korben sem. Viszont ami masodik korben hozza erkezik, azt egyszeruen cel IP alapjan kuldi 4-5 interfesz kozul valamerre. Mondok peldat: Van egy sved gep. Van valami neve, amit a DNS felold. Kapok egy IP cimet. Ha a VPN-bol ezt az IP cimet akarom megszolitani, akkor a tuzfal, aki a VPN masik oldala, azt latja, hogy jott egy csomag a tun0-bol, ami A.B.C.D fele akar menni. Van neki 5 interfeszen 5 nem tul nagy subnet, es van egy interfeszen az internet. Van egy default route, ami az internet fele tolja a forgalmat. Ha az A.B.C.D-t az internet fele probalom elerni, valahol nem fog valaszolni. (Ne kerdezd miert, elmegy a traceroute valami sved szolgaltatoig, aztan ott vege). Ugy tud elerni A.B.C.D-ig, hogy a LAN-ba dobom be, a gw a LAN-ban csucsulo router, aki az A.B.C.D cim alapjan eldonti, hogy ezt nem az interneten at kell elerni, es nem kuldi a tuzfalnak vissza, hanem mas uton megy a csomag. A gond az, hogy ha mondjuk az mlf.linux.rulez.org a cel, akkor ennek ugye az internet fele lenne a jo irany. De a tuzfalam nem tudja megkulonboztetni az A.B.C.D-t es a linux.rulez.org-ot. Ezt egyedul a router tudja, a routerbol pedig nem tudom kinyerni ezt az informaciot. (Gondolom ehhez az kellene, hogy a router valami routing protokollal hirdesse, hogy adott tartomanyok orajta keresztul erhetoek el). > egy tablat vagy egy a0-s papirt javasolnek, amire felrajzolsz mindent, > es kiderul egybol, hogy hol milyen routing tablara, NATra stb. lesz > szukseg. Az a baj, hogy en csak a magyarorszagi halozatainkat ismerem, a kulfoldi halozatainkat nem. Azt akik karbantartjak, az informaciot eljuttatjak a routerbe. Mashova nem. Eleg gyakran valtozik, tehat meg az sincs, hogy mondjuk jol kitapasztalom, vagy elkerem emailben. Tehat nem tudom felrajzolni, es a rajz alapjan statikus routing tablat kesziteni. G da koszi _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
