Объясните по поводу маскарадинга

cpp_and_asm
так-же для себя распиши как обратно идет пакет и проверь настроено-ли оборудование. Если нет ната, тогда все статичными маршрутами прописывается

У меня маршруты все статичны Именно те которые тут учавствуют.
Вот если я отключаю маскарадинг на роутере openwrt (192.168.0.1 | 10.50.50.233), то микротик (10.50.50.1) спокойно работает с ноутбуком без каких либо заморочек, и видит его ка 192.168.0.10. Но в интернет ни как не выходит зараза!
Вот этого я уже не понимаю.... А хочется просто понять в чем причина. И проверить не знаю как....

Цитата cpp_and_asm @ 26.09.16, 09:32

микротик (10.50.50.1) спокойно работает с ноутбуком

А сам ноутбук?

Точно так же. Все нормально, работают си видят друг друга без каких либо подмен ip

cpp_and_asm
запускай на тике сниффер и смотри что происходит

Ок, так как меня интересует процесс только самого соединения, я посмотрю сниферами как на openwrt 192.168.0.1 так и на микротике 10.50.50.1
Вот что приходит при маскараденги.
сперва на openwrt:

root@OpenWrt:~# tcpdump -i eth0 -n -nnn -ttt '(dst host forum.sources.ru and  dst port 80) or (src host forum.sources.ru and  src port 80)'
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
00:00:00.000000 IP 192.168.0.10.9273 > 89.208.153.100.80: Flags [S], seq 3333855967, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
00:00:00.076789 IP 89.208.153.100.80 > 192.168.0.10.9273: Flags [S.], seq 3628251206, ack 3333855968, win 65535, options [mss 1420,nop,wscale 6,sackOK,eol], length 0
00:00:00.000290 IP 192.168.0.10.9273 > 89.208.153.100.80: Flags [.], ack 1, win 260, length 0

Виден результат удачного соединения, как это еще называется "тройное рукопожатие".

Теперь на микротике:
К сожалению тут не особо информативный вывод, но видно одно, что запрос приходит из 10.50.50.233

Скрытый текст

Теперь отключим маскарадинг и посмотрим:

root@OpenWrt:~# tcpdump -i eth0 -n -nnn -ttt '(dst host forum.sources.ru and  dst port 80) or (src host forum.sources.ru and  src port 80)'
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
00:00:00.000000 IP 192.168.0.10.9318 > 89.208.153.100.80: Flags [S], seq 2660978984, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
00:00:03.001804 IP 192.168.0.10.9318 > 89.208.153.100.80: Flags [S], seq 2660978984, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
00:00:06.003596 IP 192.168.0.10.9318 > 89.208.153.100.80: Flags [S], seq 2660978984, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Как видим ответа нет(

Теперь что было на микротике:

Скрытый текст

Тут видно что изменился только src адрес на 192.168.0.10 и все
Но так же ответа не последовало.

В упор не понимаю что не так...

Цитата cpp_and_asm @ 26.09.16, 16:53

Но так же ответа не последовало.

Ты смотри на всех интерфейсах. Убери вообще интерфейс и порт\протокол

^D^ima огромное тебе спасибо!
Я понял в чем фокус то а. Вот же я жесть тупил то!
У меня на микротике то маскарадинг стоит только на адреса 10.50.50.0/24
По этому когда запрос приходит от 10.50.50.233 он его меняет на мой внешний айпи для шлюза моего провайдера!!!!
А маскарадинг для 192.168.0.0/24 не прописан! Вот он его и посылал как есть!
А шлюз провайдера и понятие не имеет о 192.168.0.10.


Ну в общем огромное тебе спасибо за терпение! Теперь то я понял где собака зарыта.

Скрытый текст

Да, микротик хорошая вещь, куча инструментов для анализа

Коллеги, хочу уточнить:
Любые манипуляции с заголовком IP это NAT? В частности проброс портов и т.п.?

Цитата ^D^ima @ 01.11.16, 12:57

Любые манипуляции с заголовком IP это NAT?

Нет. Впрочем, гарантированно однозначного принятого мнения нет - например, изменение 80 порта во внешнем запросе на 8080 (порт, на котором работает веб-сервер внутри подсети) без изменения адреса источника и приёмника, и обратное преобразование ответов на маршрутизаторе вряд ли кто назовёт NAT-ом.

Цитата ^D^ima @ 01.11.16, 12:57

В частности проброс портов

Если он сопровождается изменением IP-адреса в пакете (приёмника или источника, в зависимости от направления), то, вероятно, следует считать, что да.

Т.е. можно гарантированно сказать что если меняется именно адрес IP в заголовке то это NAT?

Цитата ^D^ima @ 01.11.16, 13:25

Т.е. можно гарантированно сказать что если меняется именно адрес IP в заголовке то это NAT?

Вообще-то нет... например, Man In The Middle.

Цитата Akina @ 01.11.16, 17:47

например, Man In The Middle.

Так это тоже своего рода "преобразование сетевых адресов" или нет? Если нет, тогда что?

Цитата ^D^ima @ 01.11.16, 17:52

Если нет, тогда что?

Цитата

Source NAT changes the source address in IP header of a packet. It may also change the source port in the TCP/UDP headers. The typical usage is to change the a private (rfc1918) address/port into a public address/port for packets leaving your network.

Destination NAT changes the destination address in IP header of a packet. It may also change the destination port in the TCP/UDP headers.The typical usage of this is to redirect incoming packets with a destination of a public address/port to a private IP address/port inside your network.

Masquerading is a special form of Source NAT where the source address is unknown at the time the rule is added to the tables in the kernel. If you want to allow hosts with private address behind your firewall to access the Internet and the external address is variable (DHCP) this is what you need to use. Masquerading will modify the source IP address and port of the packet to be the primary IP address assigned to the outgoing interface. If your outgoing interface has a address that is static, then you don't need to use MASQ and can use SNAT which will be a little faster since it doesn't need to figure out what the external IP is every time.