সিএনপ্রক্সি অসম্পূর্ণ দ্বৈত ব্রিজ টপোলজি সহ সিএন অ্যাক প্যাকেটগুলি ফিরিয়ে দিতে পারে না

আমি 172.16.11.5 এবং 172.16.10.6 থেকে এসএসএস এর সাথে সংযোগ স্থাপন করার সময় নীচে দেখানো মত একটি অসম্পূর্ণ দ্বৈত সেতু টপোলজি রয়েছে তবে সিএনপ্রক্সির কারণে আমি সংযোগ করতে পারছি না।

                  -------
                  |     |
                  ---o--- 172.16.11.5
                     |
                     |
                -----o----- 172.16.11.6
                |         |
                |         | default gw 1.1.1.1
                |         |
     1.1.1.2/30 --o----o--- 2.2.2.2/30
                  |    |
                  |    |
                  |    | (enp10s0f0)
              ----o----o-----
              |             |
              |     XXX     |
              |             |
              |  br1   br0  | synproxy
              |             |
              ----o----o-----
                  |    |
                  |    |
                  |    |
     1.1.1.1/30 --o----o--- 2.2.2.1/30
                |         |
                |         | default gw 2.2.2.2
                |         |
                -----o----- 172.16.10.1
                     |
                     |
                  ---o--- 172.16.10.6
                  |     |
                  -------

172.16.11.5 থেকে 172.16.10.6 এর মধ্যে সমস্ত মেশিনে "আরপি ফিল্টারিং" বন্ধ রয়েছে এবং "আইপি ফরওয়ার্ডিং" চালু রয়েছে। টপোলজির মাঝখানে একটি মেশিন রয়েছে যার নাম "এক্সএক্সএক্স" মেশিন। XXX এর দুটি ব্রিজ এবং একটি সিনপ্রক্সি রয়েছে।

যখন SynProxy- এ XXX এ অফ করা আছে, আমি 172.16.11.5 থেকে 172.16.10.6 এ পিং করতে পারি এবং আইসিএমপি প্যাকেটগুলি এই পথটি অনুসরণ করে: br1-> 172.16.10.1-> 172.16.10.6-> 172.16.10.1-> br0। এছাড়াও, আমি 172.16.11.5 থেকে 172.16.10.6 থেকে এসএসএস সহ অ্যাক্সেস করতে পারি। সুতরাং টিসিপি ট্র্যাফিক আমার প্রত্যাশা অনুযায়ী কাজ করে।

যাইহোক, যখন সিএনপ্রক্সি XXX এ চালু করা হয়, আমি 172.16.11.5 থেকে 172.16.10.6 এ পিং করতে পারি এবং আইসিএমপি প্যাকেটগুলি একই পথ অনুসরণ করে। তবে আমি ssh ব্যবহার করে 172.16.11.5 থেকে 172.16.10.6 এ অ্যাক্সেস করতে পারি না। এটি কারণ synproxy br1 iface- এর মাধ্যমে syn ack জবাব প্রেরণ করতে পারে না। আমি যদি XXX এ সিনাক প্যাকেটের জন্য কোনও রুট যুক্ত করি তবে আমি 172.16.11.5 থেকে 172.16.10.6 এর সাথে সংযুক্ত করতে পারি sh

রুট যোগ করুন 172.16.11.5 দেব enp10s0f0

এক্সএক্সএক্সএক্সের জন্য সিএনপ্রক্সি বিধি:

iptables -t raw -A PREROUTING -i br0 -p tcp -m physdev --physdev-in 
enp10s0f0 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j CT --notrack
iptables -t raw -A PREROUTING -i br1 -p tcp -m physdev --physdev-in 
enp11s0f0 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j CT --notrack

iptables -t filter -A FORWARD -i br0 -p tcp -m physdev --physdev-in 
enp10s0f0 -m tcp -m state --state INVALID,UNTRACKED -j SYNPROXY 
--sack-perm --timestamp --wscale 7 --mss 1460
iptables -t filter -A FORWARD -i br0 -m physdev --physdev-in enp10s0f0 
-m state --state INVALID -j DROP
iptables -t filter -A FORWARD -i br1 -p tcp -m physdev --physdev-in 
enp11s0f0 -m tcp -m state --state INVALID,UNTRACKED -j SYNPROXY 
--sack-perm --timestamp --wscale 7 --mss 1460
iptables -t filter -A FORWARD -i br1 -m physdev --physdev-in enp11s0f0 
-m state --state INVALID -j DROP

তবে এটি গ্রহণযোগ্য নয় কারণ 172.16.11.0 নেটওয়ার্ক মেঘ। সুতরাং আমি রুট টেবিলের সাথে সমস্ত মেঘ নেটওয়ার্ক রুট যোগ করতে পারিনি এবং আরপ টেবিলটিতে ম্যাক ঠিকানা যুক্ত করতে পারিনি।

সিএনপ্রক্সি যখন XXX এ চালু করা হয় তখন আমি কীভাবে 172.16.11.5 থেকে 172.16.10.6 মেশিনে সংযুক্ত করতে পারি? নাকি এটা সম্ভব?

আগাম ধন্যবাদ,

এটি ঠিক করার জন্য আমি দেখতে সবচেয়ে সহজ উপায় হ'ল গেটওয়ে মেশিনগুলির ডিফল্ট রুটগুলি একই ব্রিজটি ব্যবহার করার জন্য পরিবর্তন করা যাতে এটি আর অসম্পূর্ণ না হয়।

• 172.16.11.6 এ ডিফল্টটিকে 2.2.2.1 (বিআর0 এর মাধ্যমে) হিসাবে সেট করুন
• 172.16.10.1 এ ডিফল্টটিকে ২.২.২.২ হিসাবে সেট করুন (বিআর0 এর মাধ্যমে)

আমি কেন আগ্রহী যে কেন এইভাবে ইঞ্জিনিয়ারিং করা হয়েছে ... দ্বিতীয় সেতুর উদ্দেশ্য কী?