Тема: Re: NAT в 8.2.0

[ Следующие сообщения ] [ Продолжить тему ] [ NSG Forum ] [ FAQ ]

Сообщение прислал : Dan on September 06, 2004 at 11:44:20:

In Reply to: Re: NAT в 8.2.0 posted byUglyAdmin on September 03, 2004 at 17:10:27:

: .... А как насчёт самого туннеля, который пойдёт по GRE? Вопрос ведь не о статическом туннеле, установленном раз и навсегда - обращения могут быть с разных хостов в LAN к разным хостам (или даже к одному) в WAN...

Здесь тоже все понятно и однозначно. Пакет, который приходит в маршрутизатор, даже если он "идет по тунелю" GRE, прежде всего представляет из себя
IP-пакет. Любой другой тип пакета мы просто не понимаем и отбросим его еще на приеме (Здесь не имеются в виду транспортные протоколы, относящиеся к технологиям WAN (X.25, FR и др.)). Так вот, если используется именно GRE в варианте, где в качестве протокола доставки используется IP, такой пакет имеет стандартный IP-заголовок (20 байт).
В этом заголовке в поле "тип протокола" будет указан GRE (значение 47). За IP заголовком пойдет сам заголовок протокола GRE, который и укажет, что он собственно в себе несет (IPv6, IPX или даже другой IPv4 и еще много возможных других). Но сам заголовок GRE и то, что он инкапсулирует нам уже не важен - мы его не разбираем! Возвращаемся к заголовку протокола доставки. Там имеются адреса
SRC и DST, которые определяют "конечные" точки тунеля (peer'ы). Вот эти адреса, а точнее именно SRC и будет рассматривать интерфейс NSG с включенным NAT'ом. Если просто включить NAT, и не настроить никакой таблицы трансляции, то выпускаемый пакет подлежит обработке. Вот тут-то мы и полезем выяснять, какой тип протокола содержит IP. Это не ICMP (значение 1), не UDP (значение 17), и не TCP (значение 6), а (напомню) какой-то GRE (значение 47) и мы этот пакет спокойно Discard'им.

А вот если таблица трансляции задана, то мы , прежде чем смотреть тип протокола, определим ,
нужно ли вооюще этот пакет трогать (на основе его поля SRC и заданной таблицы трансляции). Если он не подпадает ни под одно правило, то пакет выдается без обработки, т.е. проходит через интерфейс с включенным NAT'ом.

Тоже самое можно сказать и про защищенные тунели
на базе протокола IPSec (с вариантами AH и ESP).

Следующие сообщения

Продолжить тему

Name:
E-Mail:

Subject:

Comments:: : .... А как насчёт самого туннеля, который пойдёт по GRE? Вопрос ведь не о статическом туннеле, установленном раз и навсегда - обращения могут быть с разных хостов в LAN к разным хостам (или даже к одному) в WAN... : Здесь тоже все понятно и однозначно. Пакет, который приходит в маршрутизатор, даже если он "идет по тунелю" GRE, прежде всего представляет из себя : IP-пакет. Любой другой тип пакета мы просто не понимаем и отбросим его еще на приеме (Здесь не имеются в виду транспортные протоколы, относящиеся к технологиям WAN (X.25, FR и др.)). Так вот, если используется именно GRE в варианте, где в качестве протокола доставки используется IP, такой пакет имеет стандартный IP-заголовок (20 байт). : В этом заголовке в поле "тип протокола" будет указан GRE (значение 47). За IP заголовком пойдет сам заголовок протокола GRE, который и укажет, что он собственно в себе несет (IPv6, IPX или даже другой IPv4 и еще много возможных других). Но сам заголовок GRE и то, что он инкапсулирует нам уже не важен - мы его не разбираем! Возвращаемся к заголовку протокола доставки. Там имеются адреса : SRC и DST, которые определяют "конечные" точки тунеля (peer'ы). Вот эти адреса, а точнее именно SRC и будет рассматривать интерфейс NSG с включенным NAT'ом. Если просто включить NAT, и не настроить никакой таблицы трансляции, то выпускаемый пакет подлежит обработке. Вот тут-то мы и полезем выяснять, какой тип протокола содержит IP. Это не ICMP (значение 1), не UDP (значение 17), и не TCP (значение 6), а (напомню) какой-то GRE (значение 47) и мы этот пакет спокойно Discard'им. : А вот если таблица трансляции задана, то мы , прежде чем смотреть тип протокола, определим , : нужно ли вооюще этот пакет трогать (на основе его поля SRC и заданной таблицы трансляции). Если он не подпадает ни под одно правило, то пакет выдается без обработки, т.е. проходит через интерфейс с включенным NAT'ом. : Тоже самое можно сказать и про защищенные тунели : на базе протокола IPSec (с вариантами AH и ESP). :

Optional Link URL:
Link Title:
Optional Image URL:

[ Follow Ups ] [ Post Followup ] [ NSG Forum ] [ FAQ ]