1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Dva řádky v conntracku pro jeden flow
« předchozí další »
Stran: [1]

Dva řádky v conntracku pro jeden flow

  • 0 Odpovědí
  • 1570 Zhlédnutí

Ħαℓ₸℮ℵ ␏⫢ ⦚

  • *****
  • 568
    • Zobrazit profil
    • E-mail
Dva řádky v conntracku pro jeden flow
« kdy: 14. 06. 2023, 21:04:24 »
Mám VPN na VPS tvořící mi spojení do domácí sítě a některé porty mám forwardované. Use case je například, připojit se na nějaký monitoring , například https://VPS_IP:66443. ( takže DNAT je i DPAT 66443 -> 443 ; oh wait maximum čísla portu je 65535 ale už se mi to nechce přepisovat  ;D )

A samozřejmě mohu se připojit i když se nacházím v domácí síti, jelikož se připojuji na veřejnou IP adresu, tak provoz jde na adresu vps, a tunelem zpět, kde to router forwardne na určené zařízení. (Takhle mi to nevadí, vedle toho samozřejmě ještě mám bookmark https://TARGET:443 - zjednodušeně)

Mě zajímá, jestli je v pořádku, že v conntrack -L se vynoří dva záznamy. Logicky se nabízí je spojit si je podle společného prvku, což je port.
1. otázka je ,zda conntrack sám ví, že tyto 2 nějak patří spolu
2. existuje nějaká nadstavba conntracku, která "na tohle přijde" a umí seskupit tyto záznamy?


A nebo principiálně tam 2 záznamy musí být ? Prostě že to spojení tam automaticky není? Ani podle stejného čísla portu 52590 se to nedá ztotožnit? (Ano, vím pro soketový pár číslo portu není jednoznačný identifikátor)

zde je výpis conntrack -L | grep 52590 (což je číslo společné portu ) z mašiny, která je brána do internetu.  (každý řádek jsem jenom rozdělil na 3 kvůli přehlednosti.)
)


tcp      6 427773 ESTABLISHED 
#záznam pro odchozí spojení,
#zároveň přeložené z LAN do WAN
#SNAT(MASQ --to WAN_IP)
src=192.168.1.ZDROJ dst=VPS_IP sport=39149 dport=443
src=VPS_IP dst=WAN_IP sport=443 dport=52590 [ASSURED] mark=0 use=1

tcp      6 427773 ESTABLISHED #
#záznam pro příchozí spojení z tunelu
#není překládáno, správný routing je přes mark
src=EXT_IP dst=192.168.2.TARGET sport=52590 dport=66443
src=192.168.2.TARGET dst=EXT_IP sport=66443 dport=52590 [ASSURED] mark=9911 use=1
 

význam proměnných:
WAN_IP... je adresa routeru na rozhraní do internetu, která je následně  ještě jednou (kdoví jestli jen)přeložena na EXT_IP( což je "internetová adresa zdroje" v terminologii nebo veřejná adresa, která ale není veřejná,jinak bych nepotřeboval tunel)
VPS_IP ...veřejná VPS (druhý konec tunelu)
192.168. adresy zařízení ve vnitřní síti (je jich víc)
« Poslední změna: 14. 06. 2023, 21:13:53 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »
IP zaznamenána

Reklama

  • * * * * *
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Dva řádky v conntracku pro jeden flow