A
По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
Size: a a a
2020 December 10
LT
По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
Посмотри в packet flow diagram, на каком этапе отрабатывает srcnat, вспомни что делает masquerade и что в таком случае будет со всеми соединениями которые будут ходить из интернета в локалку
A
Посмотри в packet flow diagram, на каком этапе отрабатывает srcnat, вспомни что делает masquerade и что в таком случае будет со всеми соединениями которые будут ходить из интернета в локалку
Из интернета в локалку идут по dstnat . В ответ на входящий на 25 порт, комп 0.2 лезет через маскарад по 53му на DNS сервер. В задаче почта ходит, т.е. DNS резолвится и всё отправляется
LT
Из интернета в локалку идут по dstnat . В ответ на входящий на 25 порт, комп 0.2 лезет через маскарад по 53му на DNS сервер. В задаче почта ходит, т.е. DNS резолвится и всё отправляется
Неправильно вы матчасть изучили. Пакеты могут проходить и dstnat и srcnat независимо от направления
LT
Неправильно вы матчасть изучили. Пакеты могут проходить и dstnat и srcnat независимо от направления
LT
По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
Так какие по сути будут проблемы на уровне IP пакетов в случае если неправильно настроить srcnat с маскарадом?
LT
Так какие по сути будут проблемы на уровне IP пакетов в случае если неправильно настроить srcnat с маскарадом?
Спойлер - проблемы начнутся чуть менее чем со всеми транзитными соединениями
LT
Спойлер - проблемы начнутся чуть менее чем со всеми транзитными соединениями
Ладно, не так. Если к примеру будет проходить соединение между хостами двух локалок, то хост-сервер на основе поля src address будет пологать что он общается со шлюзом а не с хостом из другой локалки. Может это и будет так работать, вот только как минимум для мониторингов это не есть хорошо
A
Ладно, не так. Если к примеру будет проходить соединение между хостами двух локалок, то хост-сервер на основе поля src address будет пологать что он общается со шлюзом а не с хостом из другой локалки. Может это и будет так работать, вот только как минимум для мониторингов это не есть хорошо
Да я понимаю, но к попаданию в спам-то это как приведёт?)
LT
Да я понимаю, но к попаданию в спам-то это как приведёт?)
Это уже тонкости работы SNMP, надо вникать
A
Это уже тонкости работы SNMP, надо вникать
Учитывая, что задачка заманивает на курсу по микротику, не думаю)
A
Ладно, не так. Если к примеру будет проходить соединение между хостами двух локалок, то хост-сервер на основе поля src address будет пологать что он общается со шлюзом а не с хостом из другой локалки. Может это и будет так работать, вот только как минимум для мониторингов это не есть хорошо
Кстати, в цепочке input отсутствие явно указанного интефейса означает, что используются все. Т.е. правила, написанные для WAN применятся и для локалки. А с маскарадом как?
LT
Кстати, в цепочке input отсутствие явно указанного интефейса означает, что используются все. Т.е. правила, написанные для WAN применятся и для локалки. А с маскарадом как?
Если речь про NAT то там есть две "цепочки" - srcnat и dstnat, и они отрабатывают именно там где это показано в той самой диаграммы. Вопрос - какая разница в данном контексте WAN или нет?
A
Если речь про NAT то там есть две "цепочки" - srcnat и dstnat, и они отрабатывают именно там где это показано в той самой диаграммы. Вопрос - какая разница в данном контексте WAN или нет?
В любом случае пакет наружу или уйдет с ip роутера, или не уйдет совсем.
Или нет?
Не может же в него записаться ip локалки?
Или нет?
Не может же в него записаться ip локалки?
C
какая-то херь как по мне, причём тут микротик
LT
В любом случае пакет наружу или уйдет с ip роутера, или не уйдет совсем.
Или нет?
Не может же в него записаться ip локалки?
Или нет?
Не может же в него записаться ip локалки?
Вы совсем запутались)
Ещё раз - что делает маскарад?
Ещё раз - что делает маскарад?
A
Вы совсем запутались)
Ещё раз - что делает маскарад?
Ещё раз - что делает маскарад?
Подменяет локальный ип источника ип роутера и шлет наружу
LT
Подменяет локальный ип источника ип роутера и шлет наружу
Тут нет таких понятий как локальный или ип роутера
E
В любом случае пакет наружу или уйдет с ip роутера, или не уйдет совсем.
Или нет?
Не может же в него записаться ip локалки?
Или нет?
Не может же в него записаться ip локалки?
А вы прочитайте как ходят tcp пакеты.
На Хабре где-то был цикл "сети для самых маленьких" или что-то вроде.
Там от модели OSI до настройки всяческих MPLS и прочих ужасов.
И как ходят пакеты тоже написано.
На Хабре где-то был цикл "сети для самых маленьких" или что-то вроде.
Там от модели OSI до настройки всяческих MPLS и прочих ужасов.
И как ходят пакеты тоже написано.
A
Тут нет таких понятий как локальный или ип роутера
Ну не придирайтесь)