Q: ipchains & MASQ

[Leos Bitto]

Martin Krumpolec (krumpo na pobox.sk) wrote:
: > : ale z portfw masiny sa v pohode spojim s cielovym portom ...
: > 
: > Dulezite je aby traceroute ze serveru na klienta sel pres ten maskaradujici
: > server. A klient nesmi mit nastavene prime routovani na server, musi byt
: > maskaradou "odriznuty". Takze z klienta na server traceroute fungovat pro
: > zmenu nesmi.
: 
:   Uff, mne sa nejedna o klasicku plnohodnotnu maskaradu, ide mi o 'kernel
:   based' riesenie pre portforwarding, bez pouzitia klasickeho user-space
:   redirektoru. (tento forwarding je pre jeden konkretny specificky ucel
:   a nijako nesmie ovplyvnovat zvysok siete)

AHA! Takze ted tam vubec nebezi maskarada? Pak ovsem neni div ze to nefunguje.

:   Scenario: prijde paket na _lokalny_ port forwardujuceho stroja 
:   (telnet A 2000), paket vlezie do input chain, odtial ho potrebujem 
:   dostat do forward chain, premaskaradovat (prepisat src/dest), poslat
:   do output chain a odtial pekne odlezie na default gw; cesta spat je
:   identicka, gw normalne posle paket na forwarder, vlezie do input chain,
:   demaskaraduje sa a posle sa klientovi ...

Problem je v tom ze aby to slo demaskaradovat, musi to jit pres ten
maskaradovaci stroj. Pokud to diky topologii site pres nej nejde, neni
mozne toto reseni pouzit. Ptam se tedy jeste jednou: je ten maskaradovaci
stroj v routovani mezi klientem a serverem?


Leos Bitto