что именно делает? net.ipv4.ip_forward =

0

2

net.ipv4.ip_forward = 1 ( echo 1 > /proc/sys/net/ipv4/ip_forward )

если у меня eth1 (192.168.1.1) и eth0 (192.168.2.1), то она разрешит пересылку пакетов из одной сети в другую? если нет, то зачем оно надо? можно по подробнее, зачем оно надо и почему iptables недостаточно?

Ссылка

←	Debian GATEWAY

[cisco 1751-V] % DSP resources not available for this configuration

→

Что бы вы ни написали в iptables, пока у вас 0 в /proc/sys/net/ipv4/ip_forward, пакеты между сетями пересылаться не будут.

~~Eddy_Em~~ ☆☆☆☆☆
(28.06.11 14:19:50 MSK)

Ответ на: комментарий от Eddy_Em 28.06.11 14:19:50 MSK

Ключ, разрешающий обмен между сетевыми интерфейсами, так?

deterok ★★★★★
(28.06.11 14:25:27 MSK)

Ответ на: комментарий от deterok 28.06.11 14:25:27 MSK

Похоже на то

~~Eddy_Em~~ ☆☆☆☆☆
(28.06.11 14:28:34 MSK)

Ссылка

>почему iptables недостаточно

по причине безопасности, т.к. во многих дистрибутивах изначально iptables не настроен, что равносильно действию ACCEPT во всех цепочках, включая FORWARD

Pinkbyte ★★★★★
(28.06.11 14:45:29 MSK)

linux-2.6.39/Documentation/networking/ip-sysctl.txt:

ip_forward - BOOLEAN
	0 - disabled (default)
	not 0 - enabled

	Forward Packets between interfaces.

	This variable is special, its change resets all configuration
	parameters to their default state (RFC1122 for hosts, RFC1812
	for routers)

~~uzbl~~ ★
(28.06.11 14:49:08 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 28.06.11 14:45:29 MSK

т.е. у меня пересылка пойдёт в моём примере, если iptables не настроен?

~~ktulhu666~~ ☆☆☆
(28.06.11 14:56:14 MSK) автор топика

Ответ на: комментарий от ktulhu666 28.06.11 14:56:14 MSK

Не пойдет - подсети разные.

~~Eddy_Em~~ ☆☆☆☆☆
(28.06.11 15:00:05 MSK)

Ответ на: комментарий от Eddy_Em 28.06.11 15:00:05 MSK

Почему нет? Если гейтвей стоит у обеих сетей этот сервак то пойдёт вполне себе.

blind_oracle ★★★★★
(28.06.11 15:48:45 MSK)

Ответ на: комментарий от blind_oracle 28.06.11 15:48:45 MSK

Ваш Гетвей его и дропнит .. Если конечно у вас обе подсети не весят на одном интерфейсе

Tok ★★
(28.06.11 17:43:38 MSK)

Ответ на: комментарий от Tok 28.06.11 17:43:38 MSK

Здесь подробнее, пожалуйста. Т.е. гейтвей на 1.1 дропнет перенаправленый пакет из 2.1?

~~mi_estas~~ ★
(28.06.11 18:52:04 MSK)

Ответ на: комментарий от mi_estas 28.06.11 18:52:04 MSK

Да... Блокируются все пакеты которые хотят влететь в одну сетевуху а вылетит с другой... всё просто как трусы .. блакировка меж интерфейсами на уровне ядра..

Tok ★★
(28.06.11 18:55:34 MSK)

Ответ на: комментарий от Tok 28.06.11 18:55:34 MSK

А как тогда работают роутеры, которые два сегмента сети соединяют? По идее они тоже все пакеты должны дропать?

~~mi_estas~~ ★
(28.06.11 19:07:47 MSK)

Ответ на: комментарий от mi_estas 28.06.11 19:07:47 MSK

Мы обсуждаем параметр net.ipv4.ip_forward и случай если он отключён Будьте внимательней, если его активировать то пакеты меж сетями станут бегать...

Tok ★★
(28.06.11 19:17:26 MSK)

Ссылка

Ответ на: комментарий от Tok 28.06.11 18:55:34 MSK

> Да... Блокируются все пакеты которые хотят влететь в одну сетевуху а вылетит с другой... всё просто как трусы .. блакировка меж интерфейсами на уровне ядра..

неверно. в случае, если этот параметр выключен, ОС считает себя узлом IP сети и дропает все пакеты, предназначенные не ей (т.е. destination address которых отличен от IP-адресов, назначенных на интерфейс, на котором получен пакет), в функции ip_input()

если параметр включен, то ОС считает себя маршрутизатором и действует в соответствии с RFC1812, в том числе пытается переслать адресованные не ей пакеты в соответствии с таблицой маршрутизации.

val-amart ★★★★★
(28.06.11 19:58:26 MSK)

Ссылка

Ответ на: комментарий от ktulhu666 28.06.11 14:56:14 MSK

если у тебя пустой(читай - ненастроенный iptables) с дефолтной политикой ACCEPT и стоит ip_forward=1, то да, пойдет пересылка ЛЮБОГО ipv4 трафика, направленного через твою машину

Pinkbyte ★★★★★
(28.06.11 21:28:51 MSK)