Professional Documents
Culture Documents
Auls Lab4
Auls Lab4
Схема мережі:
Як це працює?
S1 відправляє пакет (s.ip=S1.ip, d.ip=R1.ip; s.port=N, d.port=30022) який прилітає на R1.
R1 Переглядає iptables та застосовує правило DNAT, та формує пакет (за нашим
правилом): (s.ip=S1.ip, d.ip=VM1.ip; s.port=N, d.port=22).
Переглядає таблицю маршрутизації та відправляє пакет vm1 через інтерфейс eth0.200.
VM1 у свою чергу приймає пакет, отримує data, та формує відповідь: (s.ip=VM1.ip,
d.ip=S1.ip; s.port=22, d.port=N).
R1 приймає пакет і відновлює вихідний s.ip, до якого спочатку звернувся s1:
(s.ip=R1.ip, d.ip=S1.ip; s.port=22, d.port=N).
1
Національний університет «Чернігівська політехніка»
Пробуємо підключитися:
2
Національний університет «Чернігівська політехніка»
3
Національний університет «Чернігівська політехніка»
і у зворотний бік:
Чому так відбувається? У момент встановлення TCP-сесії прилітає пакет TCP SYN (на
нього відповідає SYN ACK, а потім ACK й сесія вважається встановленою). Перше правило,
яке ми записали (c NEW) дозволяє форвардити пакети TCP SYN з мережі 192.168.0.0 в
172.16.0.0.
Коли другий учасник відповідає на цей і будь-який наступний пакет, то підпадає під
дію 2 правила про встановлені сесії і такі пакети з мережі 172.16.0.0 проходять. А от якщо він
4
Національний університет «Чернігівська політехніка»
сам спробує встановити сесію (або просто пінганути), то не потрапить під перше та друге
правило, а потрапить під 3-тє, яке й дропне цей пакет.