iptables - vymena portu a schovani skutecneho portu

[Jan Houstek]

> >> $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 80 -j DNAT --to $INET_IP:7001 # Menim port z 80 na 7001
> > Tady bych videl tu chybu. Nejdrive z portu 80 udelate 7001
> >> $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 7001 -j DNAT --to $INET_IP:9999 # Pokud nekdo chce rovnou na 7001 tak to menim na 9999
> > A pak vsechny (premenenou 80 + originalni 7001) 7001 zmenite na 9999 -
> > hazite je do jednoho kose.

To asi tezko. Prvni DNAT target, ktery matchuje, se aplikuje a ukonci se
prochazeni chainu. Nic takoveho, ze by se paket s vymenenou adresou vratil
znovu zpet do PREROUTING na za misto, kde se provedla zmena, se nekona. To
by se dalo udelat leda oklikou pres poslani do userspace nebo do
virtualniho rozhranni jako IMQ.

> Hmm, a jak to, ze mnou prezentovane reseni s DROP funguje?

Ze stejneho duvodu.

-- Honza Houstek