Presmerovani portu v iptables a zachovani verejne ip

Martin Kraus martin.kraus na infonet.cz
Pátek Květen 27 11:54:16 CEST 2005


toz jsem konecne vstal, vycistil jsem si zuby a pochopil co chcete, alespon
doufam. 
kdyz prijde paket ze 192.168.4.1 na venkovni adresu, jeho destinace je
predpsana z venkovni adresy na 192.168.4.2. odchozi interface pak samozrejme
neni DEVICE_WAN, takze zadne maskovani se nekona(pokud pro 192.168.4.1 mate
stejne pravidlo jako pro 192.168.4.2). server 192.168.4.2 pak vraci pakety
primo na 192.168.4.1, protoze ho zna, takze to zpetne neprochazi pres server.
192.168.4.1 vsak neceka komunikaci od 192.168.4.2, ale z venkovni adresy,
takze pakety ze 192.168.4.2 zahazuje. resenim je maskovat vsechno, ne jen to,
co odchazi ven.

s pozdravem
mk


On Fri, May 27, 2005 at 11:32:59AM +0200, Martin Kraus wrote:
> omlouvam se, ale nejak jsem pak nepochopil to co presne od toho pozadujete.
> nechapu co myslite tim ze na serveru 4.2 vidite ze nekdo z venku jde z ip
> adresy
> 192.168.4.1. mohl by jste prosim presne popsat co chcete aby to delalo a co to
> dela?
> jedine co me napada je situace kdy mate jeste dalsi DNAT na 192.168.4.2 a kdyz
> pristupujete na tento server ze 192.168.4.1 pres venkovni adresu(a tedy vyse
> zmineny DNAT) tak vam to nefunguje.
> mk
> 
> > pouzivam presmerovani ze serveru na servery zapojene za timto serverem a to 
> > pomoci (na jadru 2.4.30, distr debian):
> > 
> > /sbin/iptables -A PREROUTING -t nat -p tcp -d venkovniipadresa --dport 80 -j 
> > DNAT --to 192.168.4.1:80
> > /sbin/iptables -t nat -A POSTROUTING -o DEVICE_WAN -s 192.168.4.2 -j 
> > SNAT --to venkovniipadresa
> > 
> > nicmene na serveru 4.2 vidim kdyz se nekdo pripojuje zvenku ze jde z ip 
> > 192.168.4.1. na nekterych jinych serverech (kde pouzivam distribuci suse 9.x 
> > a podobny zapojeni serveru za serverem je na druhym serveru videt (napr v 
> > logu beziciho apache) normalni venkovni ip..  nastaveni iptables je stejne 
> > jako vyse uvedene


Další informace o konferenci Linux