nefungujici port forward z interni site

[Michal Kubecek]

On Fri, Aug 16, 2002 at 04:52:12PM +0200, David Smyček wrote:
> 
> Mam problem s pristupem na port 80 (atd) z vnitrni site na venkovni
> ip. Z venku vsecko vypada jak ma, web si chodi, atd. ale z vnitrni
> site nic.
> 
> 
> Konfigurace vypada takto (RH7.3)
> -----
> $EXTIP=venkovni ip na ktery je smerovane www,...
> $FRWDED=oblibena 192.168.1.100
> 
> /sbin/iptables -A PREROUTING -t nat -p tcp -d $EXTIP --dport 80 -j DNAT --to $FRWDED:80
> 
> /sbin/iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

Jestli jsem dobře pochopil situaci, stane se zhruba toto: v chainu
PREROUTING přepíšete cílovou adresu na adresu v témže segmentu, jako
je odesílatel. Pak se teprve dostanou ke slovu routovací pravidla
a zjistí, že paket přišel z nějaké IP na vnitřním segmentu a míří
na jinou IP v témže segmentu. Takový paket se pak pochopitelně
ignoruje.

Klasické řešení je nastavit /etc/hosts ve vnitřní síti
(nebo nameserver funkční jen pro vnitřní síť) tak, aby poskytoval
skutečnou (neveřejnou) IP adresu WWW serveru - přes firewall
to pak vůbec nepůjde.

                                                  Michal Kubeček