Presmerovani paketu

[P.L.]

> On Mon, 19 Jan 2004, P.L. wrote:
> > > R:~# iptables -t nat -A PREROUTING -p tcp --dport 12345 -j DNAT \
> > > --to-destination S:22
> > > R:~# iptables -t nat -A POSTROUTING -p tcp -d S --dport 22 \
> > > -j SNAT --to-source R
> > Podle mého názoru je navrhované řešení nefunkční. Pro vracené pakety
> > vyžaduje nějakou obsluhu, která bude měnit zdrojovou a cílovou adresu.
> ??

Možná jsem špatně četl původní popis, ale pokud mají oba počítače veřejnou
adresu, tak S, na který se přesměrovává, nebude mít potřebu vracet odpovědi
přes R, ale bude je posílat přímo uživateli. Tím se bude lišit ip adresa na
kterou se připojuje od adresy, ze které chodí odpovědi. Server S by musel
mít router R jako bránu. Nebo se mýlím? Autor dotazu tvrdí, že má popsané
řešení vyzkoušené, takže se asi skutečně mýlím, ale nevím kde.


> Ten prepis tam samozrejme je, podivejte se poradne na ta pravidla.
> > Něco podobného, ale pro HTTPS protokol, jsem vyřešil pomocí xinetd. (man
> > xinetd.conf - klíčové slovo redirect)
> No, zrovna pro https to asi moc univerzalni nebude, ze? Jak docilite toho,
> aby certifikat toho serveru, na ktery presmerovavate, mel jako hostname
> uveden stroj ze ktereho presmerovavate? Do HTTPS komunikace samozrejme
> jako clovek uprostred nikterak zasahovat nemuzete, bez toho aniz byste
> narusil jeji autenticitu.

To máte samozřejmě pravdu. Řešení bylo jen jako berlička, při jistých
problémech s ADSL, ale to nemá cenu popisovat.

Petr