26.09.2020 0:45, Evgeniy Berdnikov пишет: > On Sat, Sep 26, 2020 at 12:30:45AM +0700, Eugene Grosbein wrote: >>> Есть только одна нормальная политика: доставить icmp по назначению. >> В случае NAT "назначением" можно посчитать и внешний IP в самом ICMP. > > Не понял. Поясните на примере. Заведомо невалидные icmp не предлагать.
Да почему же невалидные. NAT ведь разный бывает, например может быть "клиент" с выделенной ему сеткой 100.64.0.0/24 и выделенным же одним внешним IP, весь исходящий трафик из сетки транслируется в такой "персональный" внешний IP, весь входящий трафик на этот IP, не являющийся ответным, транслируется 1:1 на 100.64.0.1, что позволяет клиенту "публиковать сервисы". Пропускать ли снаружи внутрь ICMP echo-request, которые могут быть с заниженным TTL (traceroute probes) и хотя бы частично покажут внутренную часть сети за NAT между самим NAT и 100.64.0.1 ? Там может быть более одного хопа. Кто-то не пропускает. А пропускать ли такие же ICMP need-fragment? Кто-то не пропускает и ломает PMTUD. _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru