VLANを介したmacOS pf非対称ルーティング

VLANを介したmacOS pf非対称ルーティング

vlan0IP 444でタグ付けされたVLANインターフェイスがあります。172.16.16.16

物理インターフェイスを介したVLAN en0

mine0コンピュータにのみローカルな別のインターフェイスがあります。内部IP割り当て192.168.168.168

binatルールを使用してから1:1のNATを実行しようとしています。vlan0mine0

私のものpf.conf

binat on vlan0 from 172.16.16.16 to any -> 192.168.168.168

pfルールを設定した後、その172.16.16.16アドレスを使用してSSHを試しました。

私の出力tcpdump host 10.10.10.10

22:06:41.397177 IP 10.10.10.10.34755 > 172.16.16.16.ssh: Flags [S], seq 1984840961, win 26883, options [mss 1460,sackOK,TS val 4060403773 ecr 0,nop,wscale 7], length 0
22:06:41.397258 IP 192.168.168.168.ssh > 10.10.10.10.34755: Flags [S.], seq 2419525153, ack 1984840962, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 824423934 ecr 4060403773,sackOK,eol], length 0
22:06:42.400361 IP 192.168.168.168.ssh > 10.10.10.10.34755: Flags [S.], seq 2419525153, ack 1984840962, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 824424934 ecr 4060403773,sackOK,eol], length 0
22:06:42.425900 IP 10.10.10.10.34755 > 172.16.16.16.ssh: Flags [S], seq 1984840961, win 26883, options [mss 8861,sackOK,TS val 4060404802 ecr 0,nop,wscale 7], length 0
22:06:42.425994 IP 192.168.168.168.ssh > 10.10.10.10.34755: Flags [S.], seq 2419525153, ack 1984840962, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 824424958 ecr 4060404802,sackOK,eol], length 0
22:06:44.405921 IP 192.168.168.168.ssh > 10.10.10.10.34755: Flags [S.], seq 2419525153, ack 1984840962, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 824426935 ecr 4060404802,sackOK,eol], length 0
22:06:44.441985 IP 10.10.10.10.34755 > 172.16.16.16.ssh: Flags [S], seq 1984840961, win 26883, options [mss 8861,sackOK,TS val 4060406818 ecr 0,nop,wscale 7], length 0
22:06:44.442072 IP 192.168.168.168.ssh > 10.10.10.10.34755: Flags [S.], seq 2419525153, ack 1984840962, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 824426971 ecr 4060406818,sackOK,eol], length 0

各SYNパケット(Flags [S])はインターフェイスを介して着信しますvlan0

ただし、すべてのSYN ACKパケット(Flags [S.])はこのインターフェイスを通過しますen0

パケットを使用するには何を変更する必要がありますかvlan0

答え1

あなたと他のコンピュータの間にルーターまたはファイアウォールがある場合:

SYNS Syn データパケットはセッション確立要求です。

リクエストが宛先に到達できない可能性があり、到着しても応答を受信できない場合があります。一方のセキュリティが他方よりも厳しい場合、ステータス情報が存在しない可能性があります。

位置決めなど:シスコネットワーキングサービスニュース:

この試み:

変数を必要なインターフェイスに設定します。

# Static 1:1 NAT for the internal WWW servers
binat on $ext_if from $www1_int to any -> $www1_ext
binat on $ext_if from $www2_int to any -> $www2_ext

ここで見つけた情報:FreeBSDフォーラム

関連情報