problem s DNAT
Michal Novak
m.novak na prodiliste.cz
Úterý Prosinec 6 16:10:53 CET 2005
Zdenek Prchal wrote:
> Zdravim
>
> mam dost podivny problem s netfilterem na linuxovem firewallu
> (kernel 2.6.12 mandrake). Pouzivam shorewall, ale to mozna
> nehraje az tak roli, vygenerovana pravidla jsem prohlizel
> uz nekolikrat a zadnou chybu jsem neobjevil.
> O co se snazim:
> potrebuju na verejne adrese fw zpristupnit pop3 server
> z vnitrni site, to v zasade funguje (pro klienty z mistni lan
> i z internetu). Problem nastava v okamziku, kdy se o totez
> snazim pro klienta, ktery se pripojuje ze vzalene lan spojene
> pres ipsec. Tunel je funkcni, na verejnou IP adresu fw se lze
> skrz tunel pripojit, pakety tunelem prijdou, jsou dekodovany a
> dostanou se do chainu s DNAT:
>
> Chain vpn_dnat
> pkts bytes target prot opt in out source
> destination
> 3 144 LOG tcp -- * * 0.0.0.0/0
> <publicIP>
> tcp dpt:110 LOG flags 0 level 6
> 3 144 DNAT tcp -- * * 0.0.0.0/0
> <publicIP>
> tcp dpt:110 to:<locIP>
>
> Ted bych cekal, ze je uvidim ve FORWARD chainu (source
> adresa puvodni, dest zmenena na <locIP>), bohuzel kde nic,
> tu nic. Ty 3 SYN pakety proste nekde v kernelu zmizi, uz
> jsem vypnul i rp_filter a zapnul logovani martanu a porad nic.
> Nejak me nenapada, co bych jeste mohl zkusit, jak
> vypatrat proc a kde ty pakety mizi, mozna prehlizim
> neco uplne trivialniho, ale uz opravdu nevim ...
>
> Zdenek Prchal
Mam pocit, ze aby to fungovalo tak jak chcete, budete muset pouzit SNAT.
Ve vnitrni siti vam to funguje proto, ze klienti pravdepodobne neresi
odkud pakety prichazeji a jsou na stejnem segmentu site. Vy totiz
poslete pozadavek na verejnou IP a ten je preposlan na vnitrni IP pop3.
Ten jiz ovsem neodpovida fw, ale primo klientovi (zdrojova adresa
zustane!) ,jelikoz k nemu zna cestu.
Jak to napsat do shorewall vam jiz neporadim, jelikoz nepouzivam.
MN
Další informace o konferenci Linux