iptables: prehozeni IP pro http - resume
Růžička
ruzicka na sis.znojmo.cz
Pondělí Prosinec 1 13:57:46 CET 2003
Nejaky problem s odesilanim, zkousim naposledy...
>Bohuzel vsak cele toto prehozeni nemuze fungovat, i kdyby tento SNAT jel.
>Prijde paket na rozhrani 1.1.1.1, bude presmerovan na 10.70.2.100. Apache
ho zpracuje a
>posle rovnou zpet - pokud by SNAT jel, ma source adresu 2.2.2.2. To je pro
>klienta nove spojeni, protoze sel na 1.1.1.1 a odpoved dostane z 2.2.2.2.
Oba problemy lze jednoduse vyresit temito pravidly na FW1:
iptables -t nat -A PREROUTING -i eth0 -d 1.1.1.1 -p tcp --destination-port
http -j DNAT --to-destination 10.70.2.100
iptables -t nat -A POSTROUTING -o eth1 -d 10.70.2.100 -p
tcp --destination-port http -j SNAT --to-source 10.70.2.99
- FW1 nejprve DNATuje paket na FW2 a pote ho zamaskuje svou interni
adresou, takze FW2 odpovida na normalni dotaz z vnitrni site a klient si
mysli, ze stale komunikuje s 1.1.1.1 .
--
David Ruzicka
Další informace o konferenci Linux