forward
Jan Houstek
jan.houstek na mff.cuni.cz
Pondělí Srpen 22 06:38:49 CEST 2005
On Mon, 22 Aug 2005, Peter Surda wrote:
> Nedal by som za to ruku do ohna, ale podla mna staci zhruba iptables -t
> nat -A PREROUTING -i eth0 -p tcp -d 1.2.3.4 --dport 2300:2400 -j DNAT
> --to-destination 192.168.1.100
>
> iptablesovy nat meni port len vtedy, ked mu to prikazes alebo keby inac
> sposobil koliziu v conntrack tabulke (mam dokonca dojem ze ta druha cast
> vety plati len pre SNAT/MASQUERADE a nie pre DNAT).
Ano, presne tak. Kdyz se nad tim clovek trochu zamysli, tak v pripade DNAT
zadna takova kolize nastat nemuze.
> FORWARD v tabulke nat nie je.
Ale je v tabulce filter a pakety, kterou pakety s prepsanou cilovou
adresou prochazeji. Takze pokud mate ve firewallu nejak zakazane
navazovani spojeni z internetu do vnitrni site (coz je urcite rozumne),
pak pro da DNATovana spojeni musite udelat patricnou vyjimku
FILTER -i eth0 -p tcp -d 192.168.1.100 --dport 2300:2400 -j ACCEPT
On Mon, 22 Aug 2005, Petr Vileta wrote:
> P.S. Nemlatte me, googlil jsem, ale nejaky pouzitelny navod v cestine jsem
> moc nenasel a co jsem nasel, tak byl vetsinou neplatny odkaz.
Ale ale. Jednim dotazem na google jsem nasel minimalne
http://www.root.cz/clanky/stavime-firewall-1/
Sice se to neda rozsahem ani kvalitou srovnavat s vynikajicim howto od
Oscara Andreassona
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
ktere ale cesky (nastesti) neni.
-- Honza Houstek
Další informace o konferenci Linux