problem s DNAT
Zdenek Prchal
prchal na vtdata.cz
Středa Prosinec 7 09:00:44 CET 2005
> >
> > Ted bych cekal, ze je uvidim ve FORWARD chainu (source
> > adresa puvodni, dest zmenena na <locIP>), bohuzel kde nic,
> > tu nic. Ty 3 SYN pakety proste nekde v kernelu zmizi, uz
> > jsem vypnul i rp_filter a zapnul logovani martanu a porad nic.
> > Nejak me nenapada, co bych jeste mohl zkusit, jak
> > vypatrat proc a kde ty pakety mizi, mozna prehlizim
> > neco uplne trivialniho, ale uz opravdu nevim ...
> >
> Mam pocit, ze aby to fungovalo tak jak chcete, budete muset
> pouzit SNAT.
Vas pocit vas neklame, ale v tom to neni.
> Ve vnitrni siti vam to funguje proto, ze klienti
> pravdepodobne neresi
> odkud pakety prichazeji a jsou na stejnem segmentu site. Vy totiz
> poslete pozadavek na verejnou IP a ten je preposlan na
> vnitrni IP pop3.
Prave ze _neni_ preposlan, ac by podle pravidel byt mel.
> Ten jiz ovsem neodpovida fw, ale primo klientovi (zdrojova adresa
> zustane!) ,jelikoz k nemu zna cestu.
>
Ne, SNAT tam mam nastaveny samozrejme take, zas az tak se v tom
orientuju. Jenze, jak uz jsem psal vyse, ten paket vubec neprojde
FORWARD chainem, natoz aby se dostal do POSTROUTINGu, kde je ten
SNAT ...
Zdenek Prchal
Další informace o konferenci Linux