Specialni NAT

Petr Simek psimek na jcu.cz
Sobota Prosinec 27 13:04:34 CET 2003 

On Sat, 27 Dec 2003, Dan Bar wrote:

> DNAT? Treba (unreliable, need more study)
>
> ad a)
> iptables -t nat -A PREROUTING -p tcp --dport PORTA -i eth0 \
>   -s IP.IP.11.1 -d IP.IP.193.252 -o eth1  \
> -j DNAT --to 192.168.0.51:PORTB
>
> PORTA se nemusi rovnat PORTB, je to ciste vec namapovani. Takze i kdyz
> je zarizeni na portu 80 (http://192.168.0.51/), tak ho muzete volat
> treba pres port 8888 (http://IP.IP.193.252:8888/)

Nejak mi to nefunguje. Mam pocit ze to zarizeni uvidi jako zdroj toho
paketu puvodni IP.IP.11.1 jenze nema def. GW takze zna jen sit
192.168.0.0/24 a neumi ho vratit zpet. Vcera jsem si s tim hral
a zkusil si napsat 4 pravidla -

DNAT na prepis destinace z IP.IP.193.252 na 192.168.0.51
SNAT na prepis source z IP.IP.11.1 na 192.168.0.1

coz by melo paket ktery prichazi ze zarizeni IP.IP.11.1 na IP.IP.193.252
prehodit na eth1 jako paket z 192.168.0.1 na 192.168.0.51 . Dale pravidla

DNAT na prepis destinace z 192.168.0.1 na IP.IP.11.1
SNAT na prepis source z 192.168.0.51 na IP.IP.193.252

coz by melo podobne opravit paket ktery jde zpet od zarizeni. Jenze ani
to mi nezafungovalo. Vyzkousel jsem spustit na routeru mozillu i netscape
a zarizeni defGW nastavit, jenze to ma tak skvely web management ze se
ani jeden nechyti. Mozila nerozumi javascriptu na odeslani zmeny
nastaveni :-( Jedine s cim to chodi je MSIE >5.5. Pokud to bude umet
gateway, tak si planuju udelat ip gre tunel 192.168.0.0 <-> 192.168.1.0
na jiny linux router, coz by predpokladam mohlo chodit.

> nejaky man:
> http://iptables-tutorial.frozentux.net/chunkyhtml/targets.html#DNATTARGET
> http://www.netfilter.org/unreliable-guides/NAT-HOWTO/NAT-HOWTO.linuxdoc-6.html

Uz jsem par dokumentacnich stranek precetl, ale primo nejaky example na
muj pripad jsem nikde neobjevil a vyse uvedene mi nefunguje.

> Jinak pokud zkratkou "inet" minite Internet, pak souhlasim s kolegou
> ohledne VPN. Napr. vcera jsem se dival na OpenVPN, ma klienty i pro Lin,
> Windows ...

Dival jsem se na ten poptop.org je to zajimave, ale musi se vymenit
kernel. O bezpecnost mi vubec nejde, je to jednorazovka a na ty privatni
adresy stejne nikdo nemuze.

> Some links: http://tinc.nl.linux.org/vpnlinks
>
> ---------------------------------
> A nebo o neco "jednodussi" cesta pres secure tunelling
>
> Zebedee: http://www.winton.org.uk/zebedee/
> Stunnel: http://www.stunnel.org/

Mrknu se na to. Zatim to vypada ze tam budu muset dojit s notebookem
a MSIE a nastavit tu gateway.

> Dan

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*

Další informace o konferenci Linux