iptables - vymena portu a schovani skutecneho portu

Jan Houstek jan.houstek na mff.cuni.cz
Pátek Srpen 26 08:09:15 CEST 2005


On Fri, 26 Aug 2005, Jan Kovar wrote:
> Ne, $INET_IP je venkovni adresa. Ten stroj slouzi jako firewall, pro
> dalsi dva stroje za nim, ale ten web bezi primo na nem. Ja jsem nemeli
> cilovou adresu, jen jsem chtel zmenit port, na kterem ta sluzba skutecne
> posloucha. Proto je tam ten Inpu. Ale je to zajimava myslenka s tim
> forwardem. Kdyz tam dam vnitrni adresu a pravidlo do FORWARD .... Musim
> zkusit.

Ale kus! Jestli paket vleze do FORWARD nebo INPUT se rozhoduje pri tzv.
routing decision, kdy se cilova adresa porovna se vsemi adresami
nakonfigurovanymi na interfacech. Pokud tam je, je to lokalni paket a leze
do INPUT. Nechapu, kde se vzal ten blud, ze kdyz do stroje vlezu jednim
interface a jako cilovou mam adresu jineho interface, ze je to potreba
routovat a ze to leze pres FORWARD ...

> Tam neni Apache. Ta firma ma z nejakych me neznamych duvodu napsany
> vlastni web v jave. Ma to byt nejaky masivni inet shop. Nevim, ke me to
> prislo zpusobem, kamarad poprosil kamarada.....

Podivejte se, kde ten demon opravdu posloucha (netstat --inet -lp). Pokud
udelate ten DNAT, tak by se minimalne melo navazat TCP spojeni (zjistite
snadno). Otazka je, co s tim potom ten server udela. tcpdump je vas
pritel.

-- Honza Houstek


Další informace o konferenci Linux