router - forward portu zpet do vychozi site
Jan Kasprzak
kas na informatics.muni.cz
Čtvrtek Červen 13 10:59:53 CEST 2002
Filip =?ISO-8859-2?Q?Jirs=E1k ?= wrote:
: Zdravim,
: mam nasledujici usporadani: firewall se tremi sitovkami, jedna do
: internetu a dve do dvou rouznych podsiti (ktere jsou
: zamaskaradovane). Vnejsi rozhrani fw ma vlastni IP adresu
: (1.2.3.4). Na tuto adresu je ale v DNS nastaven web a mail
: server, ktery je ve skutecnosti umisten v jedne positi (a ja s
: tim nic neudelam, spravuji jen firewall a druhou podist). Tj.
: pozadavek na 1.2.3.4:80 se ma forwardovat na 192.168.1.20:80.
: Forwardovani portu na firewallu mi funguje spravne pro pozadavky
: z venku i z druhe site. Nefunguje ale pripad, kdy je pozadavek z
: te same site, kde je umisten web a mail server - tj. ma
: probehnout to, ze prijde paket z vnitrni site, udela se na nem
: DNAT a odesle se zpet do puvodni site (rozhranim, kterym prisel).
: Jenze to nefunguje.
Asi by bylo dobre popsat, co presne nefunguje: Kdyz
na tom firewallu date tcpdump na to vnitrni rozhrani, jak to vypada?
A kdyz date tcpdump na pocitaci ze ktereho k tomu HTTP serveru pristupujete?
Podle me to budto zahazuje route-path filter (nepravdepodobne)
- pak muzete zkusit dat nulu do vsech /proc/sys/net/ipv4/conf/*/rp_filter,
nebo mozna ten firewall posila ICMP redirect a klient je z toho zmanteny.
Tady by melo pomoct "echo 0 >/proc/sys/net/ipv4/eth1/send_redirects"
nebo tak neco (pokud je eth1 vase vnitrni sit).
-Yenya
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Czech Linux Homepage: http://www.linux.cz/ |
|----------- If you want the holes in your knowledge showing up -----------|
|----------- try teaching someone. -- Alan Cox -----------|
Další informace o konferenci Linux