înregistrare Logare
Puncte:0
user236012 avatar Server

nftables nat counter incomplet

drapel cn
user236012

Încerc să învăț nftables/nat și să am niște configurații experimentale simple:

Machine1 (router):
    - eth0 192.168.0.1
    - eth1 192.168.1.1

Mașina 2:
    - eth0 192.168.1.2

Pentru Machine1 am configurat NAT:

table ip nat {
        postrouting în lanț {
                tip nat hook postrouting priority srcnat; acceptarea politicii;
                ip daddr 192.168.1.2 contor pachete 0 octeți 0
                ip saddr 192.168.1.2 contor pachete 6 octeți 420
                ip saddr 192.168.1.0/24 oif „eth0” snat la 192.168.0.1
        }
}

NAT funcționează bine, pot accesa 192.168.0.1 (și mai departe) de la Machine2.

Cu toate acestea, mă lupt cu contorul: numerele de mai sus sunt de la a wget stackoverflow.com de la Machine2 și sunt mult sub ceea ce ls -l index.html este grăitor (~180k). Mi-aș putea imagina că aceștia sunt doar octeții/pachetele de ieșire, cei care intrați pur și simplu nu sunt numărați (am adăugat daddr contracar în speranța de a obține acestea).

Ce îmi lipsește?

67
0 + 0
Puncte:0
avatar Server
drapel us
Tero Kilkanen

Când o conexiune trece prin NAT, conexiunea este procesată cu ajutorul urmăririi conexiunii.Aceasta înseamnă că numai pachetele inițiale pentru conexiune (SYN, SYN-ACK, ACK) trec prin regula NAT.

Restul pachetelor sunt procesate cu intrarea de urmărire a conexiunii care este configurată la pornirea NAT.

Dacă doriți să numărați pachetele, trebuie să adăugați reguli la filtru masa REDIRECŢIONA lanţ.

0 + 0
A.B avatar
drapel cl
A.B
De fapt, doar primul pachet trece prin NAT (pentru TCP, acesta este pachetul SYN). Chiar și SYN-ACK și ACK fac parte dintr-o intrare conntrack deja existentă și modificată pentru operațiunile NAT de singura dată când regula nat a nftables a văzut primul pachet (într-o intrare conntrack în stare NEW). Următoarele pachete sunt în aceeași intrare conntrack, deci nu mai sunt în stare NEW, astfel încât nu trec din nou prin nat-ul nftables.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.