Specialni NAT

Dan Bar Daniel.Bar na seznam.cz
Sobota Prosinec 27 12:21:09 CET 2003 


Petr Simek wrote:
> Dobry den,
> 
> mam nasledujici konfiguraci site :
> 
>                     PC s MSIE
>                    IP.IP.11.1
>                         |
>                       inet
>                         |
>                 eth0 IP.IP.193.253
>                eth0:0 IP.IP.193.252
>                   Linux Router
>                 eth1 IP.IP.9.1
>                eth1:1 192.168.0.1/24
>                         |
>                     Zarizeni
>                  192.168.0.51/24
> 
> Zarizeni neumi def. GW takze komunikuje jen po lokale. Da se ale rozumne
> ovladat jen pomoci MSIE >5.5 (mozilla mi nefunguje). Proto bych potreboval
> na tom linux routeru udelat nastaveni aby kdyz :
> 
> a: prijde paket z IP.IP.11.1 na IP.IP.193.252 (eth0:0), tak aby prepsal
>    jeho zdrojovou adresu na 192.168.0.1 a cilovou na 192.168.0.51 a poslal
>    ho pres eth1:1 (podle routovaci tabulky) na Zarizeni
> 
> b: prijde paket od Zarizeni z 192.168.0.51 na 192.168.0.1 (eth1:1), tak
>    aby prepsal jeho zdrojovou adresu na IP.IP.193.252 a cilovou na
>    IP.IP.11.1 a poslal ho ven podle routovaci tabulky.
> 
> 
> Nemeli by jste nekdo navod jak to udelat ? Zdali to vubec jde ? Potrebuji
> nejak nasimulovat pritomnost toho PC s MSIE na siti kde ma linux router
> interface eth1.
> 

DNAT? Treba (unreliable, need more study)

ad a)
iptables -t nat -A PREROUTING -p tcp --dport PORTA -i eth0 \
  -s IP.IP.11.1 -d IP.IP.193.252 -o eth1  \
-j DNAT --to 192.168.0.51:PORTB

PORTA se nemusi rovnat PORTB, je to ciste vec namapovani. Takze i kdyz 
je zarizeni na portu 80 (http://192.168.0.51/), tak ho muzete volat 
treba pres port 8888 (http://IP.IP.193.252:8888/)

ad b)
ostatni by mel obstarat connection tracking.

---------------------------------
nejaky man: 
http://iptables-tutorial.frozentux.net/chunkyhtml/targets.html#DNATTARGET
http://www.netfilter.org/unreliable-guides/NAT-HOWTO/NAT-HOWTO.linuxdoc-6.html

Jinak pokud zkratkou "inet" minite Internet, pak souhlasim s kolegou 
ohledne VPN. Napr. vcera jsem se dival na OpenVPN, ma klienty i pro Lin, 
Windows ...

Some links: http://tinc.nl.linux.org/vpnlinks

---------------------------------
A nebo o neco "jednodussi" cesta pres secure tunelling

Zebedee: http://www.winton.org.uk/zebedee/
Stunnel: http://www.stunnel.org/


Dan

Další informace o konferenci Linux