> Можно ли каким-либо образом релизовать source routing на *NIX для ip. То есть
> маршрутизацию по адресу источника, а не назначения. Что-то аналогичное
> указыванию next hop на циске.
Во фре и линухе (начиная с 2.1) есть.
В линухе очень просто
ip rule [ list | add | del ] SELECTOR ACTION
SELECTOR := [ from PREFIX ] [ to PREFIX ] [ tos TOS ] [fwmark FWMARK]
[ dev STRING ] [ pref NUMBER ]
ACTION := [ table TABLE_ID ] [ nat ADDRESS ]
[ prohibit | reject | unreachable ]
[ flowid CLASSID ]
TABLE_ID := [ local | main | default | new | NUMBER ]
ip rule from XXXX/XX to YYYY/YY [ dev input_dev ] table NNN
После для маршрутизации пакетов из XXXX/XX через интерфейс input_dev в YYYY/YY
будут использоваться дополнительная таблица маршрутизации.
В >=2.2.5 есть и port-routing
Виталий
.
--- ifmail v.2.14
* Origin: SPb State University of Aerospace Instrumentati (2:5030/580@fidonet)
Andrey Shnir <Andrey.Shnir@f79.n5080.z2.fidonet.org> wrote
in article <925484859@f79.n5080.z2.ftn>...
> >> Можно ли каким-либо образом релизовать source routing на *NIX для
> >> ip. То есть маршрутизацию по адресу источника, а не назначения.
> >> Что-то аналогичное указыванию next hop на циске.
> VL> Во фре и линухе (начиная с 2.1) есть.
> VL> В линухе очень просто
>
> С линухом понятно. А во фре это можно реализовать только через divert
если
> пользоваться стандартным ipfw? Как?
Hа FreeBSD это решается с помощью ipfilter:
pass in quick to ed0:192.168.1.1 proto tcp from 192.168.1.2 to any
Совсем недавно я поставил ip-filter-3.2.10 на FreeBSD 2.2.7 и 2.2.8,
и на первой из них пробовал этот самый to ed0. Работает.
Единственное, если на этом ed0 еще делается NAT, то
редиректнутые пакеты не проходят через NAT со всеми вытекающими.
--
С уважением,
Игорь Сысоев
http://www.nitek.ru/~igor/
--- ifmail v.2.14dev3
* Origin: A poorly-installed InterNetNews site (2:5020/400)
_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
From : Anatoly A. Orehovsky 2:5020/400 04 May 99 10:54:04
Subj : policy routing и source routing
________________________________________________________________________________
From: tolik@mpeks.tomsk.su (Anatoly A. Orehovsky)
: tolik> каким-либо образом релизовать source routing на *NIX для : >>
: tolik> ip. То есть маршрутизацию по адресу источника, а не назначения. :
: tolik> >> Что-то аналогичное указыванию next hop на циске.
: tolik> Точнее будет - policy routing.
: Или я чего-то не понимаю, или одно из
: двух... /etc/defaults/rc.conf:
: forward_sourceroute="NO" # do source routing (only if gateway_enable is
: set to "YES")
: accept_sourceroute="NO" # accept source routed packets to us
Видимо, все же, не понимаешь...
policy routing и source routing - абсолютно разные вещи.
Скажу очень просто, чтобы не вдаваться в детали:
source routing порождается источником пакета и заставляет все
маршрутизаторы по пути следования к получателю маршрутизировать пакет
так, как этого захотел источник. Потенциально это опасно, поскольку
позволяет завернуть пакет несоответсвенно маршрутной политике. Хорошая
возможность для спуфинга.
Поэтому настоятельно рекомендуется на маршрутизаторах, особенно имеющих
соединение с Интернет, запрещать форвардинг пакетов, требующих source
routing. И, в частности, запрещать и прием таких пакетов.
policy routing затрагивает все пакеты, удовлетворяющие некоторым
условиям. При этом источник не имеет возможности управлять
маршрутизацией.
В конце концов - source routing затрагивает ВСЕ маршрутизаторы на пути
следования пакета плюс получателя. Кроме того, источник должен задать
маршрут.
policy routing касается только какого-то конкретного маршрутизатора. При
этом ни источник, ни получатель в процессе маршрутизации не участвуют.
Я достаточно всем запудрил мозги ?
--
Anatoly A. Orehovsky. AO9-RIPE. AAO1-RIPN
--- ifmail v.2.14dev3
* Origin: CISA Ltd. InterNetNews site (2:5020/400)
Vova
