problem s DNAT

Zdenek Prchal prchal na vtdata.cz
Pondělí Prosinec 5 14:44:07 CET 2005 

Zdravim

mam dost podivny problem s netfilterem na linuxovem firewallu
(kernel 2.6.12 mandrake). Pouzivam shorewall, ale to mozna
nehraje az tak roli, vygenerovana pravidla jsem prohlizel
uz nekolikrat a zadnou chybu jsem neobjevil.
O co se snazim: 
potrebuju na verejne adrese fw zpristupnit pop3 server
z vnitrni site, to v zasade funguje (pro klienty z mistni lan
i z internetu). Problem nastava v okamziku, kdy se o totez
snazim pro klienta, ktery se pripojuje ze vzalene lan spojene
pres ipsec. Tunel je funkcni, na verejnou IP adresu fw se lze
skrz tunel pripojit, pakety tunelem prijdou, jsou dekodovany a
dostanou se do chainu s DNAT:

Chain vpn_dnat
 pkts bytes target     prot opt in     out     source
destination
    3   144 LOG        tcp  --  *      *       0.0.0.0/0
<publicIP>
tcp dpt:110 LOG flags 0 level 6
    3   144 DNAT       tcp  --  *      *       0.0.0.0/0
<publicIP>
tcp dpt:110 to:<locIP>

Ted bych cekal, ze je uvidim ve FORWARD chainu (source
adresa puvodni, dest zmenena na <locIP>), bohuzel kde nic,
tu nic. Ty 3 SYN pakety proste nekde v kernelu zmizi, uz
jsem vypnul i rp_filter a zapnul logovani martanu a porad nic.
Nejak me nenapada, co bych jeste mohl zkusit, jak
vypatrat proc a kde ty pakety mizi, mozna prehlizim
neco uplne trivialniho, ale uz opravdu nevim ...

Zdenek Prchal

Další informace o konferenci Linux