sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <3AD324B7.45F50763@xxxxxxxxx> "Kristian F. Høgh" <kfh@xxxxxxxxx> writes:

>"Henrik Størner" wrote:

>> 1) Hvad med at eliminere den ekstra router, og i stedet sætte
>>    klientens netværk direkte på firewall'en som et 4. ben ?
>>    I og med at al routing foregår direkte via firewall'en burde
>>    det løse problemet.

>Ja, men jeg er ikke meget for det.

>Hvad er det der går galt? Er det connection-tracking?
>Kan man slå conn.-track fra?

Sagtens, lad blot være med at enable connection tracking i kernen.

Men det er ikke det, der er problemet. Så vidt jeg kan se, er det
grundlæggende problem at du forsøger at lave routing uden at ville
definere routes på de forskellige hosts. Så prøver du i stedet at
tvinge trafikken omkring firewall'en for at den skal gøre noget
"magisk" så det virker. Men det gør det altså ikke.

>Ved routning hvor input-IF=output-IF bør den ikke være statefull.

En router vil normalt reagere på sådan en pakke med en ICMP
redirect. Hvis en pakke skal routes ud på det samme interface som den
ankom på, så er der nemlig ingen grund til at route den overhovedet -
så kan afsenderen af pakken lige så godt kontakte modtageren direkte,
uden at involvere routeren.

Det er det, som en "ICMP redirect" bruges til. Og det er jeg ret
sikker på, at din firewall også genererer - ellers er det en fejl (men
jeg har set en linux 2.2.x router reagere på præcis den måde, så jeg
ved at det har virket).

"ICMP redirect" er simpelt hen routerens måde at lave en midlertidig
routing entry hos afsenderen.

Hvis de to parter der skal kommunikere så ikke kan finde ud af det, så
har man selvfølgelig et problem. Og jeg tror det er det, som du
oplever.


Henrik
-- 
Henrik Storner      | "ATA100 is another testimony to the fact that 
<henrik@xxxxxxxxxx> |  pigs can be made to fly given sufficient thrust"
                    | 
                    |          Linux kernel hacker Alan Cox, on IDE drives