iptables: prehozeni IP pro http

Pondělí Prosinec 1 10:31:20 CET 2003

On Mon, 1 Dec 2003, Ondrej Koala Vacha wrote:

Byl jsem vyzvan, at doplnim informace, rad tak ucinim, nebot je to pro me
stale zahadou:

--------                                                         --------
| FW1  |---eth1 10.70.2.99    --------          eth1 10.70.2.100 |  FW2 |
|------|                                                         --------
  eth0                                                              eth0
1.1.1.1                                                           2.2.2.2
internet                                                          internet

na FW1 mam:
iptables -A PREROUTING -t nat -j DNAT -p tcp -d 1.1.1.1 --destination-port http --to-destination 10.70.2.100

na FW2 mi bezi SNAT:
iptables -A POSTROUTING -t nat -j SNAT -s 10.70.0.0/255.255.0.0 -o eth0 --to-source 2.2.2.2

 Jestli zvenci (napr. 6.6.6.6)  pristoupim na port 80 pocitace 1.1.1.1, je
 spravne presmerovan na pocitac 2.2.2.2. Z neho jde odpoved spravne na
 6.6.6.6, ale zdrojova adresa zustala 10.70.2.100, tedy se zda, ze
 neprobehl SNAT. Zjistovano tcpdump -i eth0 na FW2.

Z jineho pohledu vypada zahada takto:

na FW2, tedy kde bezi SNAT:
tcpdump -i eth0 | fgrep http

dostanu:

11:21:28.065814 10.70.2.100.http > bond.2922: S 1884532399:1884532399(0)
ack 3077128191 win 5792 <mss 1460,sackOK,timestamp 5304411
147375937,nop,wscale 0> (DF)

coz je mi zahadou, jakto, ze muzu videt 10.70.2.100 jako source, kdyz mam
SNAT. Nebo tcpdump to zobrazuje pred SNATem? Snad ne.

s diky
--
Ondrej Koala Vacha