Presmerovani portu
Peter Surda
shurdeek na routehat.org
Pondělí Leden 10 20:58:28 CET 2005
Miroslav Pragl wrote:
> Jeste ten cilovy stroj musi vedet ze ho ma ACCEPT()ovat - NENI TAM
> JEHO ADRESA
To nie je pravda, samozrejme ze tam je jeho adresa.
> a squid musi mit povolene transparenteni!
Ani toto nie je pravda.
> take by se dalo udelat prepsanim cilove adresy a portu v packetu
Presne toto robi DNAT.
> MP
>
>> iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to
>> 192.168.6.122:3128
>
Ked to robis takto, potrebujes dodatocne este SNAT pravidlo, zhruba:
iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 3128 -d
192.168.6.122 -j SNAT --to ip_adresa_routera
Nechce sa mi vysvetlovat, preco je to potrebne, ked si pustis tcpdump
tak to uvidis.
Toto ma vsak tu vlasnost, ze squid uvidi vsetky spojenia z ip adresy
routru (v zavislosti od poziadaviek to moze ale nemusi byt problem).
Alternativne sa to robi cez policy based routing, potom sa netreba hrat
s nat-om (ale ked chces stale mozes :-)), ale na pocitaci so squidom
musis nastavit cez iptables redirect a mat to pochopitelne zapnute aj v
konfiguracii, a je to celkovo zlozitejsie spravit poriadne.
S pozdravom
Peter Surda
Další informace o konferenci Linux