2007年7月3日火曜日

conntrack と LSRR

ソースルーティング (ポリシのではない) を試すべく

~~~~~~~~~~~~~~~ +-----------+ +---------+ +---------+
{ The Internet} ----+ firewall+----+ host 1 +----+ host 2 |
~~~~~~~~~~~~~~~ +-----------+ +---------+ +---------+
<-----------------<
>-------------------------------->

みたいな構成で試したところ... firewall から出ない。accept_source_route は 0 なのに何故? ふと思い HOWTO 見た一般過程向き? のルールの抜粋
 
-A block -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m conntrack --ctstate NEW -j ACCEPT
-A block -j DROP
DROP の前に LOG を入れてみると見事 dmesg に表示。う〜んと悩むこと小一時間。結果は state に INVALID を入れてあげれば通った。iptables (8) から抜粋すると
Possible states are INVALID meaning that the packet is associated with no known connection,
lsrr 面倒見ないよ、知らん。って事らしい。
で、こちらも中途....

0 件のコメント: