Re: Проблемы со связностью по ipv6 сайта nginx.org

Пт Сен 25 21:07:10 UTC 2020

26.09.2020 0:45, Evgeniy Berdnikov пишет:

> On Sat, Sep 26, 2020 at 12:30:45AM +0700, Eugene Grosbein wrote:
>>>  Есть только одна нормальная политика: доставить icmp по назначению.
>> В случае NAT "назначением" можно посчитать и внешний IP в самом ICMP.
> 
>  Не понял. Поясните на примере. Заведомо невалидные icmp не предлагать.

Да почему же невалидные. NAT ведь разный бывает, например может быть
"клиент" с выделенной ему сеткой 100.64.0.0/24 и выделенным же одним внешним IP,
весь исходящий трафик из сетки транслируется в такой "персональный" внешний IP,
весь входящий трафик на этот IP, не являющийся ответным, транслируется 1:1
на 100.64.0.1, что позволяет клиенту "публиковать сервисы".

Пропускать ли снаружи внутрь ICMP echo-request, которые могут быть с заниженным TTL
(traceroute probes) и хотя бы частично покажут внутренную часть сети за NAT
между самим NAT и 100.64.0.1 ? Там может быть более одного хопа.
Кто-то не пропускает. А пропускать ли такие же ICMP need-fragment?
Кто-то не пропускает и ломает PMTUD.