presmerovani stanic

Petr Bravenec pbravenec na solartec.cz
Úterý Únor 15 16:18:38 CET 2005 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Peter Surda napsal(a):

| On Tue, Feb 15, 2005 at 07:16:08AM +0100, Petr Bravenec wrote:
|
|> Dalibor Straka napsal(a):
|>
|>> Pokud bude presmerovan na lokalni IP (pred NATem) tak to asi
|>> nebude fungovat. Protoze cilovy pocitac odpovi klientovy, ale
|>> odpovi mu nekdo koho klient vubec nekontaktoval, takze
|>> zbloudily paket zahodi.
|>
|> Nezahodí.
|
| Ale zahodi.
|
|> Tyhle pakety se roututí,
|
| Pokial nic nezmenis a pocitace su na tom istom subnete (v beznych
| pripadoch dokonca aj v roznych subnetoch na tom istom ethernetovom
| segmente), pojdu priamo.
|
|> chybí tam ještě pravidlo, které by povolilo routing z lokálního
|> na lokální eth.
|
| Tomu nerozumiem. Mozes spravit routovacie pravidlo, ktore dotycne
| pakety posle naspet na router, tym by sa to vyriesit malo, ale
| podla mna je to zbytocne zlozite.
|
|> Je to úplně stejný postup, jakým se dělá transparentní proxy.
|
| Tak toto je pravda.
|
| S pozdravom,
|
| Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103,
| +436505122023
|
Vyzobávám přímo ze skriptů pro iptables na svém fw (transp. proxy):

# pro proxy server se adresy nepřekládají
iptables -t nat -A PREROUTING  -i $INNER_DEV -p tcp -s $PROXY -j RETURN

# pro všechny ostatní PC na síti se adresy překládají tak, že se paket
****ROUTUJE****
# na vnitřní počítač $PROXY, tedy z $INNER_DEV na $INNER_DEV (z eth0
na eth0 např)
iptables -t nat -A PREROUTING  -i $INNER_DEV -p tcp --dport www \
~                               -j DNAT --to $PROXY:3128
..............
# Protože se routuje na vnitřní síti, udělal jsem si pravidlo pro tyto
případy
iptables -A FORWARD -i $INNER_DEV -o $INNER_DEV -j in-in
..............
# a v tomto pravidle mám povolený port 3128
iptables -A in-in -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A in-in -d $PROXY -p tcp --dport 3128  -j ACCEPT  # Transp.
proxy

Vyzkoušejte, uvidíte. Pakety se na jednom jediném segmentu vnitřní
sítě routují a
nechodí přímo.

Basta!
Česky Howg!

Petr Bravenec

- --


email: pbravenec na solartec.cz
telefon: +420 777 566 384
icq: 227051816
www: http://www.solartec.cz/
Klíč pro šifrování pošty: http://server.solartec.cz/Petr.Bravenec.gpg.asc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFCEhLOG69vMmiBSIwRAteuAJ4vzSW2VMkKuRRWn7PtGjrqOu5euACg2Bnq
IDBJYwULa3c0VKOia+V55MQ=
=DUnI
-----END PGP SIGNATURE-----

Další informace o konferenci Linux