RE: iptables a přesměrované porty
ArtComp - Petr Lorenc
petr.lorenc na artcomp.cz
Středa Srpen 21 12:21:55 CEST 2002
> Strilim takhle po ranu od boku, ale nestacilo by vyhodit '-i
> $INET_IFACE'? Je jasne, ze kdyz pravidlo plati jen pro
> pakety, ktere
> prijdou pres vnejsi interface, tak pro pakety z vnitrni
> site, ktere
> chodi pres vnitrni interface se tohle pravidlo nechytne
> a tudiz vam to
> nebude fungovat jak cekate.
>
> Michal Ludvig
>
To jsem tam zapomněl po pokusech. Původně jsem to měl bez -i. Vysvětlení
proč to nefunguje je ve starším příspěvku.
Jestli jsem dobře pochopil situaci, stane se zhruba toto: v chainu
PREROUTING přepíšete cílovou adresu na adresu v témže segmentu, jako
je odesílatel. Pak se teprve dostanou ke slovu routovací pravidla
a zjistí, že paket přišel z nějaké IP na vnitřním segmentu a míří
na jinou IP v témže segmentu. Takový paket se pak pochopitelně
ignoruje.
SNATování tento problém skutečně vyřeší
$EXTIP = ip na externim iface
$FRWDED = ip kam se to forwarduje
/sbin/iptables -A POSTROUTING -t nat -s <ip interni site>/24 -p tcp -d
$FRWDED -j SNAT --to $EXTIP
Petr
Další informace o konferenci Linux