[ip/ipchains] NAT pro cilovou adresu?
Pavel Janik ml.
Pavel.Janik na inet.cz
Úterý Říjen 19 21:49:44 CEST 1999
From: <Borek.Lupomesky na ujep.cz>
Date: Mon, 18 Oct 1999 22:34:06 +0200 (CEST)
Zdravím,
> Moc nerozumim, o co vam jde. Aby NAT fungoval, musi se provadet oba
> preklady. Pro prichozi datagramy se prepisuje cilova adresa, pro odchozi
> zdrojova. Implementovano je to tak, ze prvni cast provadi prikaze "ip
> route nat" a druhou potom "ip rules nat".
když už jsme u toho, tak přihodím dotaz. Na několika serverech mi tohle
běží. Jenom je tam na všech problém (resp. dva).
První problém je ten, že z firewall, která dělá NAT se nedopingnu na veřejnou
adresu překládanou na lokální IP. Konkrétní příkazy teď nemohu ukázat, je to
_technicky_ nerealizovatelné (ach ta bezpečnost) :-) Celkem to ale dokážu
pochopit.
No a druhý problém je poměrně jednoduchý a zřejmý. Pokud se lokální stroj,
který má překlanou adresu, pokusí o FTP ven, a pak např. o ls něco, otevře
vzdálenému FTP serveru port u sebe:
PORT local.ip,nějaké číslo
No a samozřejmě protože local.ip je privátní adresa, tak veřejný FTP server
udělá, co udělat má a nic nám nepřenese. Modul ip_masq_ftp tady samozřejmě nic
nezmůže, jde o úplně jinou situaci.
--
Pavel Janík ml.
Pavel.Janik na inet.cz
Další informace o konferenci Linux