iptables a host:port redirect
Peter Surda
shurdeek na routehat.org
Sobota Červen 25 19:57:50 CEST 2005
On Sat, 25 Jun 2005 19:47:21 +0200 Jaroslav Prodelal <ogee na oldany.cz> wrote:
>Dobry den,
cau
> ma problem s presmerovani paketu pomoci iptables:
Znie ako typicky problem "podvojneho routovania", uz sa to to niekolkokrat
riesilo. Urcite som to pisal uz minimalne 3krat a odpovedali aj ini.
Musis nejako zabezpecit, aby ked ide paket tymto smerom:
>CLIENT -> REDIRECT_HOST -> DESTINATION
odpoved nan isla opacnym smerom:
DESTINATION -> REDIRECT_HOST -> CLIENT
V tvojom pripade zrejme preskoci ten stred.
IMHO najjednoduchsie sa to vyriesi opacnym NAT-om:
$IPTABLES -t nat -A POSTROUTING -p tcp -d 1.2.3.4 --dport 80 -j SNAT --to-source
$EXT_ADDR
(podla potreby aj zhruba)
$IPTABLES -A FORWARD -p tcp -s 1.2.3.4 --sport 80 -m state --state
ESTABLISHED,RELATED -j ACCEPT
> Tim tcpdumpem jsem zachytaval jenom to, co slo NA nebo Z adresy
>DESTINATION, tedy jsem se nezajimal o to, co litalo mezi
>CLIENT->REDIRECT_HOST, ale vzhledem k tomu, ze prepisu prijemce, tak uz
>spolu dal CLIENT a REDIRECT_HOST nekomunikuji (predpokladam, co se tyka
>1 spojeni).
Zhruba mas pravdu a tam je aj pricina problemu, vid vyssie. CLIENT predpoklada,
ze komunikuje s REDIRECT_HOST, ale pakety sa mu vracaju z DESTINATION a preto je
z toho popleteny a nechce komunikovat.
>--ogee
S pozdravom,
Peter
Další informace o konferenci Linux