problem s DNAT
Zdenek Prchal
prchal na vtdata.cz
Pondělí Prosinec 5 14:44:07 CET 2005
Zdravim
mam dost podivny problem s netfilterem na linuxovem firewallu
(kernel 2.6.12 mandrake). Pouzivam shorewall, ale to mozna
nehraje az tak roli, vygenerovana pravidla jsem prohlizel
uz nekolikrat a zadnou chybu jsem neobjevil.
O co se snazim:
potrebuju na verejne adrese fw zpristupnit pop3 server
z vnitrni site, to v zasade funguje (pro klienty z mistni lan
i z internetu). Problem nastava v okamziku, kdy se o totez
snazim pro klienta, ktery se pripojuje ze vzalene lan spojene
pres ipsec. Tunel je funkcni, na verejnou IP adresu fw se lze
skrz tunel pripojit, pakety tunelem prijdou, jsou dekodovany a
dostanou se do chainu s DNAT:
Chain vpn_dnat
pkts bytes target prot opt in out source
destination
3 144 LOG tcp -- * * 0.0.0.0/0
<publicIP>
tcp dpt:110 LOG flags 0 level 6
3 144 DNAT tcp -- * * 0.0.0.0/0
<publicIP>
tcp dpt:110 to:<locIP>
Ted bych cekal, ze je uvidim ve FORWARD chainu (source
adresa puvodni, dest zmenena na <locIP>), bohuzel kde nic,
tu nic. Ty 3 SYN pakety proste nekde v kernelu zmizi, uz
jsem vypnul i rp_filter a zapnul logovani martanu a porad nic.
Nejak me nenapada, co bych jeste mohl zkusit, jak
vypatrat proc a kde ty pakety mizi, mozna prehlizim
neco uplne trivialniho, ale uz opravdu nevim ...
Zdenek Prchal
Další informace o konferenci Linux