Re: [ CN ] HW3 - firewall
※ 引述《coquelicot (蚯蚓)》之銘言:
: 故事是這樣子的...
: 由於 NAT 對 icmp 的 behavior 真的非常之怪 Orzzzz
: 所以想問問助教, 我們是否需要支援
: 一個 proxy 在 NAT 內, 一個 proxy 在 NAT 外 的狀況?
: 其次, 助教能否提點一下關於 NAT 的一些注意事項?
: 是否是必須在極短的時間內回覆,
: 或是對一個 echo 只能回覆有限個 reply?
如果正常的使用 echo + reply 的話應該在NAT之內也可以正常的執行
echo 個數沒有限制
時間方面因為ping的兩邊都是自己寫的,沒有timeout 的問題
: ---- 以下如果助教有空可以幫看一下 QQ ----
: 我的確是用 ECHO / ECHO_REPLY 實作,
: 且當兩個 proxy 同在 NAT 內 or 外 時一切正常.
: 可是一旦把 client 端的 proxy 丟進 NAT,
: 那麼外部的 proxy 傳訊息給內部的 proxy 時
: 只有 1. 握手的封包 2. ACK 3. 結束連線的封包 三種訊息傳得到 囧
: 我的 data 無論如何就是傳不過去.
: 檢查過 id, sequence number 一切正常, ping 也 work.
: 我的 NAT 環境:
: debian/wheezy i386
: with kernel 3.2
: in virtualbox 4.1.18
: using iptables
: FILTER:
: Chain FORWARD (policy ACCEPT)
: target prot opt source destination
: ACCEPT icmp -- 192.168.0.0/24 anywhere
: DROP all -- 192.168.0.0/24 anywhere
: NAT:
: Chain POSTROUTING (policy ACCEPT)
: target prot opt source destination
: MASQUERADE all -- 192.168.0.0/24 anywhere
: 感激不盡 <(_ _)>
以下是我的 iptables,你可以參考看看
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere localhost
也就是對外全數DROP除了連localhost 或 icmp 之外
這樣我的程式是可以正常執行的
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.28.104
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 5 篇):