※ 引述《simonxander (显显)》之铭言： : ※ 引述《coquelicot (蚯蚓)》之铭言： : : 故事是这样子的... : : 由於 NAT 对 icmp 的 behavior 真的非常之怪 Orzzzz : : 所以想问问助教, 我们是否需要支援 : : 一个 proxy 在 NAT 内, 一个 proxy 在 NAT 外 的状况? : : 其次, 助教能否提点一下关於 NAT 的一些注意事项? : : 是否是必须在极短的时间内回覆, : : 或是对一个 echo 只能回覆有限个 reply? : 如果正常的使用 echo + reply 的话应该在NAT之内也可以正常的执行 : echo 个数没有限制 : 时间方面因为ping的两边都是自己写的，没有timeout 的问题 : : ---- 以下如果助教有空可以帮看一下 QQ ---- : : 我的确是用 ECHO / ECHO_REPLY 实作, : : 且当两个 proxy 同在 NAT 内 or 外 时一切正常. : : 可是一旦把 client 端的 proxy 丢进 NAT, : : 那麽外部的 proxy 传讯息给内部的 proxy 时 : : 只有 1. 握手的封包 2. ACK 3. 结束连线的封包 三种讯息传得到 囧 : : 我的 data 无论如何就是传不过去. : : 检查过 id, sequence number 一切正常, ping 也 work. : : 我的 NAT 环境: : : debian/wheezy i386 : : with kernel 3.2 : : in virtualbox 4.1.18 : : using iptables : : FILTER: : : Chain FORWARD (policy ACCEPT) : : target prot opt source destination : : ACCEPT icmp -- 192.168.0.0/24 anywhere : : DROP all -- 192.168.0.0/24 anywhere : : NAT: : : Chain POSTROUTING (policy ACCEPT) : : target prot opt source destination : : MASQUERADE all -- 192.168.0.0/24 anywhere : : 感激不尽 <(_ _)> : 以下是我的 iptables，你可以参考看看 : Chain OUTPUT (policy DROP) : target prot opt source destination : ACCEPT icmp -- anywhere anywhere : ACCEPT all -- anywhere localhost : 也就是对外全数DROP除了连localhost 或 icmp 之外 : 这样我的程式是可以正常执行的 抱歉不是很懂助教的设定QQ. 助教的设定是在 FILTER 的 OUTPUT 上, 可是这样限制的应该是本机对外的连线吧? 如此并没有 NAT 的机制? 还是我误会了什麽 OAO. 我想像中应该是这样 VM1 -> VM2(router, nat, firewall) -> host -> internet VM2 要用 NAT 把 VM1 藏起来, 然後顺便把一些封包挡掉, 是吧 @@? --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.4.192