Problem s nastavenim iptables

[Vladimir Naprstek]

Podobny problem jsme tez resili. Ten problem je v dns. Protoze pokud ve
vnitrni siti zadate adresu www (napr.) tak dns vrati tu vnejsi. Paket
dojede pres fw na vnejsi stranu, ale uz potom neprojde zpatky pres ta
pravidla do vnitrni site a skonci buhvi kde.

Takze resenim je bud zajistit, aby dns pro dotazy z lan resolvolalo ty
adresy jinak (vracelo vnitrni adresu). Nebo varianta druha - ta pravidla
pro prerouting musite nasadit i na vnitrni rozhrani.


M.Meduna wrote:
> Dobry den,rozchodil jsem NAT s FW na linuxu pres iptables. Vse chodi 
> dobre,ve vnitrni siti mam WWW, FTP, VPN a MAIL server a z linuxu(brana do 
> inetu -> 2 sitove rozhrani) forwarduju dotazy pro tyto sluzby do vnitr site. 
> Ale objevil se problem. Kdyz se pripojuji z vnitrni site na www s ip adresou 
> vnejsiho sit. rozhrani,tak to nefunguje. Pouzivame DNS na win2k serveru a 
> nevyresene dotazy se forwarduji na DNS providera. Kdyz zkusim,jestli mi 
> prelozi dotaz na www,tak je to v pohode. Myslim si,ze je problem s tim 
> presmerovanim datagramu prichazejicich na vnejsi rozhrani,ktere se 
> forwarduji do vnitrku. Vypada to,ze pokud ty datagramy prijdou z inetu,tak 
> se to forwarduje,pokud z vnitrni site,tak jsou zahozeny. Nevim,jestli to tak 
> opravdu funguje,ale vypada to,ze ano. Napada Vas nekoho,jak to vyresit. Ja 
> uz jsem vsechny myslenky vycerpal.
> 
> POVOLENI na FW:
> iptables -A FORWARD -i <inet_rozhrani> -p TCP -d <adresa www> --dport 80 -m 
> state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> 
> FORWARDOVANI:
> iptables -t nat -A PREROUTING -p TCP --dport 80 -i <inet_rozhrani> - j 
> DNAT --to <adresa www:80>
> 
> Jinak veskery provoz ve vnitrni siti je povolen. Pokud se pripojim na 
> vnitrni adresu,tak to funguje. Normalne by to nevadilo,jenze tam jsou asi 4 
> weby,ktere bezi na stejnem portu a na ktery web se pripojite ovlivnuje 
> hlavicka HTTP protokolu,ktera obsahuje tu spravnou URL.
> 

-- 
Vladimír Náprstek