[ip/ipchains] NAT pro cilovou adresu?

Pavel Janik ml. Pavel.Janik na inet.cz
Úterý Říjen 19 21:49:44 CEST 1999


   From: <Borek.Lupomesky na ujep.cz>
   Date: Mon, 18 Oct 1999 22:34:06 +0200 (CEST)

Zdravím,

   >    Moc nerozumim, o co vam jde. Aby NAT fungoval, musi se provadet oba
   > preklady. Pro prichozi datagramy se prepisuje cilova adresa, pro odchozi
   > zdrojova. Implementovano je to tak, ze prvni cast provadi prikaze "ip
   > route nat" a druhou potom "ip rules nat".

když už jsme u toho, tak přihodím dotaz. Na několika serverech mi tohle
běží. Jenom je tam na všech problém (resp. dva).

První problém je ten, že z firewall, která dělá NAT se nedopingnu na veřejnou
adresu překládanou na lokální IP. Konkrétní příkazy teď nemohu ukázat, je to
_technicky_ nerealizovatelné (ach ta bezpečnost) :-) Celkem to ale dokážu
pochopit.

No a druhý problém je poměrně jednoduchý a zřejmý. Pokud se lokální stroj,
který má překlanou adresu, pokusí o FTP ven, a pak např. o ls něco, otevře
vzdálenému FTP serveru port u sebe:

PORT local.ip,nějaké číslo

No a samozřejmě protože local.ip je privátní adresa, tak veřejný FTP server
udělá, co udělat má a nic nám nepřenese. Modul ip_masq_ftp tady samozřejmě nic
nezmůže, jde o úplně jinou situaci.
--
Pavel Janík ml.
Pavel.Janik na inet.cz


Další informace o konferenci Linux