Некорректные пакеты от провайдера

0

2

Собственно, сегодня я столкнулся с тем, что от провайдера приходили примерно такие пакеты:

Я отправляю:

src 100.64.8.1 dst 8.8.8.8 proto ICMP

Я от провайдера получаю:

src 192.0.2.1 dst 100.64.8.1 proto ICMP

Во втором случае в поле src должно быть: 8.8.8.8

У провайдера NAT.

Я думаю, что можно как то исправлять пакеты через tc-pedit. Но как можно через iptables изменять на входящем пакете адрес источника на правильный?

Ссылка

←	аналог revive ad

Как одной командой проверить наличие строки и если её нет - добавить

→

Весело

This document describes three IPv4 address blocks that are provided for use in documentation.  
The use of designated address ranges for documentation and examples reduces the likelihood of conflicts 
and confusion arising from the use of addresses assigned for some other purpose.

   [RFC1166] reserves the first of the three address blocks,
   192.0.2.0/24.

https://datatracker.ietf.org/doc/rfc5737/

i3wm
(10.12.19 00:06:32 MSK)

Во втором случае в поле src должно быть: 8.8.8.8

А это был не какой-нибудь port-unreachable?

iptables'ом вы такое не исправите, iptables не изменяет адреса в пакете, там создаётся записи в conntrack. Все пакеты, попадающие под условия в записи, относятся к одному соединению и у них изменяются адреса/порты. У вас первый пакет прошёл, запись (точнее две записи) созданы.

Возможно, получится что-то сделать с помощью ″conntrack -I″, парся вывод ″conntrack -E″

mky ★★★★★
(10.12.19 00:25:44 MSK)

Ответ на: комментарий от mky 10.12.19 00:25:44 MSK

Это inside/outside NAT у провайдера.
Можно попробовать поднять NAT на самой машине.
Двойной NAT получится. Один на тачке, второй у прова.

i3wm
(10.12.19 00:30:29 MSK)

Ответ на: комментарий от i3wm 10.12.19 00:06:32 MSK

Четко по документации нат настраивали. Вот и настроили двойной :)

keir ★★
(10.12.19 00:31:06 MSK)

Ссылка

Ответ на: комментарий от i3wm 10.12.19 00:30:29 MSK

192.0.2.0/24 - это для примера

ne-vlezay ★★★★★
(10.12.19 00:42:55 MSK) автор топика

Ссылка

Может лучше спросить у провайдера почему так ? Проблему провайдера лучше чтоб решал сам провайдер :-)

Вообще в таком случае у вас не должна работать связь с внешним миром, полностью, т.к. вы отправляете пакеты на один адрес, а ответы всегда приходят с другого. Ни одно tcp-соединение не создастся.
Если же всё работает, значит есть большое подозрение, что эти пакеты, как написал mky, - просто ответы об ошибках от какого-то провайдерского маршрутизатора. Это выглядит не совсем красиво, но в целом нормально, ибо на возможность связи с внешним миром не влияет.

spirit ★★★★★
(10.12.19 18:45:32 MSK)

Ответ на: комментарий от spirit 10.12.19 18:45:32 MSK

Но, можно сделать через pedit так:

tc qdisc add dev wan0 handle ffff: ingress
tc filter add dev wan0 protocol ip u32 match ip src 192.0.2.1 match ip dst 100.64.8.1 action pedit ex murge ip src set <ip своей vps на которой vpn> pipe action csum ip and udp and tcp and icmp

Потом через этот vpn выйти в мир.

Можно также написать демон, которые будет смотреть исходящие пакеты и подставлять адрес источника для них через него, генерируя правила.

ne-vlezay ★★★★★
(10.12.19 19:20:24 MSK) автор топика
Последнее исправление: ne-vlezay 10.12.19 19:25:23 MSK (всего исправлений: 1)