Presmerovani portu na jinou IP

Vasek Stodulka xvasek na gmail.com
Pondělí Květen 23 16:06:50 CEST 2005 

On Mon, 23 May 2005 11:30:29 GMT, Jaroslav Prodelal <ogee na oldany.cz> wrote:

> > no to by meli zvladat prave iptables v priblizne podobe:
>  To jsem zkousel, ale prave ze mi to neslo, navic tam se nejedna o to, ze
>  by byl vystup na jinem rozhrani.

	Abych se priznal, tak jsem uplne nepochopil otazku, ale protoze na
jednom PC provozuju takovy "virtualni" redirect (cokoli jde na 193.179.2.9
presmeruj na 192.168.1.1) a tento "router" ma jenom jednu sitovku, tak se
muzu "pochlubit" se svym resenim:

# pridam si druhou IP:
ip addr add 192.168.1.5 dev eth0
# udelam presmerovani cile (DNAT)
iptables -t nat -A PREROUTING -d 193.179.2.9 -j DNAT --to 192.168.1.1
# zmenim zdroj (SNAT)
iptables -t nat -A POSTROUTING -d 192.168.1.1 -j SNAT --to 192.168.1.4\
                                                      --to 192.168.1.5

debian:~# ip addr show
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:04:75:7f:cc:5c brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.4/24 brd 192.168.1.255 scope global eth0
    inet 192.168.1.5/32 scope global eth0

	Dve IP jsou tam ciste z toho duvodu, ze mi jinak stroj 192.168.1.1
nadaval, ze je moc spojeni z jedne IP, tak to ted NATuju pres dve. SNAT tam
musi byt, protoze jinak packet bloudi po vnitrni siti blbym zpusobem -
odejde od rekneme 192.168.1.10 (smerem k cili 193.179.2.9), prijde na
192.168.1.4 (jako router na ceste k 193.179.2.9), odtud putuje pres DNAT na
192.168.1.1 a ta pri odpovedi posle pakety primo na 192.168.1.10, ktera
ovsem puvodne poslala na 193.179.2.9, coz je spor, takze odpovedi neprijme
:) Jeste je potreba zajistit, aby se packety z LAN smerovane na 193.179.2.9
skutecne smerovaly na 192.168.1.4 a aby mel takovy pseudorouter povoleny IP
forwarding.

	Jenom nevim, jestli ma pseudokonfigurace skutecne resi zadany
problem a jestli vubec nekdo chape, proc delam vyse popsanou saskranu. :)
A kdo by si chtel zasoutezit v kvizu "jak muze nekdo napsat tak nesmyslne
pravidla", muzete si najit pod signaturou moje duvody.

-- 
Vašek Stodůlka
tel.: +420 608 200 860

.
.
.
.
.
.
.
.
.
.
.
.

...proste mam uplne hloupy router, ktery neumi DNAT, takze jsem mu nalhal,
ze cesta k siti 193.179.2.9/24 vede pres 192.168.1.4 a tam uz si to DNATnu
na svem Linuxim superpocitaci kam chci.

Další informace o konferenci Linux