presmerovani komunikace do interni site
Dalibor Straka
dast na panelnet.cz
Sobota Únor 15 16:27:09 CET 2003
On Sat, Feb 15, 2003 at 02:59:45PM +0100, Vymazal Milan wrote:
> jinak konfiguraci mam udelanou takto:
>
> iptables -P FORWARD DROP
> iptables -A FORWARD -i eth1 -j ACCEPT
> iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> kam mam teda to pravidlo zaradit ?
>
To je jedno, kam prijde jedno pravidlo pro PREROUTING. Podle mne to
funguje takto
1. Paket je na drate a dorazi na eth0
2. Jestlize ma spravnou MAC tak je predan dale a dostane se do
PREROUTING.
a) mangle...to nemate :)
b) nat...tu mate ;)
3. Routovani bud INPUT nebo FORWARD(to je nas pripad)
4. POSTROUTING, v nasem pripade nic!!! jdeme ven pres eth1 :)
Takze bych rekl, ze to neprojde bodem c. 3. Zkuste si do pravidel pridat
uplne na konec
iptables -A FORWARD -i eth0 -j LOG --log-prefix "Forward "
iptables -P FORWARD -j ACCEPT
A take by se uz hodil vystup tcpdump pusteny na 192.168.1.99
tcpdump -i eth0 tcp port 3389
Hele clovece! Kdyz koukam na tohle
1. iptables -A OUTPUT -p ALL -s 192.168.0.1 -j ACCEPT
2. --to-destination 192.168.1.99:3389
Jsou na stejny siti? Pingnes z jednoho na druhej? A pripadne z
192.168.1.99 ven?
-- Dalibor Straka
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030215/485fe2d7/attachment.sig>
Další informace o konferenci Linux