Problem s nastavenim iptables

Vasek Stodulka xvasek na gmail.com
Čtvrtek Červen 16 09:28:42 CEST 2005


On Thu, 16 Jun 2005 08:23:07 +0200, M.Meduna <meduna na pors-sw.cz> wrote:

>  POVOLENI na FW:
>  iptables -A FORWARD -i <inet_rozhrani> -p TCP -d <adresa www> --dport 80 -m 
>  state --state NEW,ESTABLISHED,RELATED -j ACCEPT

	Pokud uvedete -i, tak to presmeruje jenom packety, ktere prichazeji
z tohoto rozhrani. Pro pakety z vnitrni site ale toto pravidlo neplati, kdyby
Vam bezel na brane HTTP server, tak dostanete data od nej.

	Neuvedenim -i vyresite problem zcasti - router paket sice nasmeruje
do vnitrni site na spravny pocitac, ale co dal? WWW server (vnitrni) prijme
paket a zkusi poslat odpoved. Jenomze zdrojem paketu je vnitni IP adresa
- SNAT se na routeru provadi jenom na odchozi provoz, takze WWW server
odpoved neposle pres router, ale primo na PC, ktere polozilo dotaz - tim ho
samozrejme naprosto zmate a PC takove pakety zahodi. Co s tim? Je potreba,
aby se takove pakety jeste SNATovaly. To udelate pomoci

iptables -t nat -A POSTROUTING -t TCP --dport 80 -s <vnitrni_sit> -d
<vnejsi_ip_routeru> -j SNAT --to <vnitrni_ip_routeru>

	Druhou moznosti je opravit lokalni DNS server, aby jinak resolvoval
adresy vasich webu.

	Kazdopadne obligatni vytka na zaver: uz se to tady urcite v nekolika
variantach probiralo, pouzivejte archiv. :)

-- 
Vašek Stodůlka
tel.: +420 608 200 860


Další informace o konferenci Linux