Re: [ CN ] HW3 - firewall
※ 引述《simonxander (顯顯)》之銘言:
: ※ 引述《coquelicot (蚯蚓)》之銘言:
: : 故事是這樣子的...
: : 由於 NAT 對 icmp 的 behavior 真的非常之怪 Orzzzz
: : 所以想問問助教, 我們是否需要支援
: : 一個 proxy 在 NAT 內, 一個 proxy 在 NAT 外 的狀況?
: : 其次, 助教能否提點一下關於 NAT 的一些注意事項?
: : 是否是必須在極短的時間內回覆,
: : 或是對一個 echo 只能回覆有限個 reply?
: 如果正常的使用 echo + reply 的話應該在NAT之內也可以正常的執行
: echo 個數沒有限制
: 時間方面因為ping的兩邊都是自己寫的,沒有timeout 的問題
: : ---- 以下如果助教有空可以幫看一下 QQ ----
: : 我的確是用 ECHO / ECHO_REPLY 實作,
: : 且當兩個 proxy 同在 NAT 內 or 外 時一切正常.
: : 可是一旦把 client 端的 proxy 丟進 NAT,
: : 那麼外部的 proxy 傳訊息給內部的 proxy 時
: : 只有 1. 握手的封包 2. ACK 3. 結束連線的封包 三種訊息傳得到 囧
: : 我的 data 無論如何就是傳不過去.
: : 檢查過 id, sequence number 一切正常, ping 也 work.
: : 我的 NAT 環境:
: : debian/wheezy i386
: : with kernel 3.2
: : in virtualbox 4.1.18
: : using iptables
: : FILTER:
: : Chain FORWARD (policy ACCEPT)
: : target prot opt source destination
: : ACCEPT icmp -- 192.168.0.0/24 anywhere
: : DROP all -- 192.168.0.0/24 anywhere
: : NAT:
: : Chain POSTROUTING (policy ACCEPT)
: : target prot opt source destination
: : MASQUERADE all -- 192.168.0.0/24 anywhere
: : 感激不盡 <(_ _)>
: 以下是我的 iptables,你可以參考看看
: Chain OUTPUT (policy DROP)
: target prot opt source destination
: ACCEPT icmp -- anywhere anywhere
: ACCEPT all -- anywhere localhost
: 也就是對外全數DROP除了連localhost 或 icmp 之外
: 這樣我的程式是可以正常執行的
抱歉不是很懂助教的設定QQ.
助教的設定是在 FILTER 的 OUTPUT 上,
可是這樣限制的應該是本機對外的連線吧?
如此並沒有 NAT 的機制?
還是我誤會了什麼 OAO. 我想像中應該是這樣
VM1 -> VM2(router, nat, firewall) -> host -> internet
VM2 要用 NAT 把 VM1 藏起來, 然後順便把一些封包擋掉, 是吧 @@?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.4.192
討論串 (同標題文章)