Fórum Root.cz
Ostatní => /dev/null => Téma založeno: Hamparle 17. 01. 2021, 22:33:06
-
Tak jsem se díval na conntrack -L a překvapilo mě tam hodně DNS přímo ze stroje routeru ("tento počítač :) "). Není důvod,aby šly přes nat, když přeci vychází z routeru (protože na něm běží forwardovací DNS a přímé DNS jsem zařízl, ostatně je to vidět i z jednoho řádku
src=71.47.3.11 dst=1.1.1.1 sport=3536 dport=53 src=1.1.1.1 dst=71.47.3.11 sport=53 dport=3536
)
Je to jasný, že nf_conntrack na sebe "strhává" i provoz, který nepotřebuje být natován: když pravidlo je -A POSTROUTING -o wlan0 -j MASQUERADE
Myslím, že technicky to ničemu nevadí, maximálně to může zatěžovat prostředky v nereálně hypotetickém zatížení, ale rád bych věděl, jak to pravidlo napsat korektně. (Ne jenom aby to fungo valo - což jde i teď - ale aby to bylo takzvaně richtig. A pokud možno abych tam nemusel vkládat IP adresu, což by byla nechtěná "duplicita" (tím myslím využití proměnné). Nebo jiná možnost není?
Možnosti:
-i wlan1 (vnitřní interface)
--src 10.0.0.0/16 (vnitřní síť)
--not --src 71.47.3.11 (vnější IP)
-
EDIT:
Tak možnost číslo 1 (-i Rozhraní_odkud) odpadá, jelikož to u POSTROUTING Není dovoleno.
-
Co ale je fakt divné, že když pravidlo nahradím
-A POSTROUTING -o wlan0 -j MASQUERADE #před změnou
-A POSTROUTING -s 10.0.0/8 -o wlan0 -j MASQUERADE # po změnětak se nic nezmění, stále se v výpisu ukazuje
Takže dotazy na publikum: jak to tedy je s conntrack (jako takový i jeho výpisem conntrack -L)?
-Proč conntrack -L ukazuje i řádky kde pravidlo MASQ nematchuje IP ? Znamená to tedy, že tento výpis nic s NATem nemá společného a vypisuje jakákoli spojení bez ohledu na to, zda dochází k překladu?
- provádí conntrack NAT i v případě, že pravidlo ve firewallu matchuje i pakety z routeru (tedy před úpravou, bez specifikace src adresy , v prvním postu, kdy v řádku conntrack adresy jsou shodné)