iptables - vymena portu a schovani skutecneho portu

Jan Houstek jan.houstek na mff.cuni.cz
Čtvrtek Srpen 25 15:50:35 CEST 2005


On Thu, 25 Aug 2005, Peter Surda wrote:
> Lenze v tabulke filter je uz port znatovany a neda sa matchovat resp.
> diferencovat. Mozno by v tomto pripade bola vhodnejsia tabulka raw?
> (nerobil som s nou, neviem ci je hooknuta pred alebo za natom)

Jaktoze se neda matchovat? Muzu tam dat uplne ten samy match jako by byl v
PREROUTING. Jedine, co tim nepoznam, je pripad, kdy

a) IP1 leze na IP2:port1, coz je v PREROUTING zanatovano na IP3:port2
b) IP1 leze rovnou na IP3:port2

Typicky mi tohle uz bude v tabulce FILTER ukradene, jestli si k IP3:port2
klient pomohl sam, nebo mu byla prelozena, budu s tim nakladat stejne.
Pokud to potrebuju rozlisit, napr. pripad b) zahodit, tak mam minimalne
dve moznosti, jak to udelat ciste

1) oznacit si ty pakety v PREROUTING chainu tabulky mangle a pak v FILTER
matchovat podle fwmark

2) vyuzit modul conntrack, ktery je urcen presne k tomu, da se matchovat
napr. podle puvodni adresy, nebo podle conntrack stavu, v tomto
pripade k rozliseni a) a b) staci -m conntrack --ctstate DNAT

-- Honza Houstek


Další informace o konferenci Linux