router - forward portu zpet do vychozi site

Jan Kasprzak kas na informatics.muni.cz
Čtvrtek Červen 13 10:59:53 CEST 2002


Filip =?ISO-8859-2?Q?Jirs=E1k ?= wrote:
: Zdravim,
: mam nasledujici usporadani: firewall se tremi sitovkami, jedna do 
: internetu a dve do dvou rouznych podsiti (ktere jsou 
: zamaskaradovane). Vnejsi rozhrani fw ma vlastni IP adresu 
: (1.2.3.4). Na tuto adresu je ale v DNS nastaven web a mail 
: server, ktery je ve skutecnosti umisten v jedne positi (a ja s 
: tim nic neudelam, spravuji jen firewall a druhou podist). Tj. 
: pozadavek na 1.2.3.4:80 se ma forwardovat na 192.168.1.20:80. 
: Forwardovani portu na firewallu mi funguje spravne pro pozadavky 
: z venku i z druhe site. Nefunguje ale pripad, kdy je pozadavek z 
: te same site, kde je umisten web a mail server - tj. ma 
: probehnout to, ze prijde paket z vnitrni site, udela se na nem 
: DNAT a odesle se zpet do puvodni site (rozhranim, kterym prisel). 
: Jenze to nefunguje.

	Asi by bylo dobre popsat, co presne nefunguje: Kdyz
na tom firewallu date tcpdump na to vnitrni rozhrani, jak to vypada?
A kdyz date tcpdump na pocitaci ze ktereho k tomu HTTP serveru pristupujete?

	Podle me to budto zahazuje route-path filter (nepravdepodobne)
- pak muzete zkusit dat nulu do vsech /proc/sys/net/ipv4/conf/*/rp_filter,
nebo mozna ten firewall posila ICMP redirect a klient je z toho zmanteny.
Tady by melo pomoct "echo 0 >/proc/sys/net/ipv4/eth1/send_redirects"
nebo tak neco (pokud je eth1 vase vnitrni sit).

-Yenya

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/   Czech Linux Homepage: http://www.linux.cz/ |
|----------- If you want the holes in your knowledge showing up -----------|
|----------- try teaching someone.                  -- Alan Cox -----------|


Další informace o konferenci Linux