iptables PREROUTING/POSTROUTING
Slavek Banko
slavek.banko na axis.cz
Úterý Listopad 15 23:51:26 CET 2005
1. Pokud provedete DNAT, tak se to netýká zdrojové adresy. Pokud tedy
<cas> neprovede ještě SNAT, tak na <ev1> budou přicházet pakety s původní
zdrojovou adresou == povolit na <ev1> jen pakety z <cas> by nestačilo.
2. Druhé pravidlo mi nepřipadá v pořádku:
iptables -t nat -A POSTROUTING -p tcp -s <ev1> --source-port 25 -j SNAT
--to-source <cas>
Pokud pravidlo mělo zajistit, aby na <ev1> přicházely pakety se zdrojovou
adresou <cas>, pak je chybně. Ostatně proto můj původní dotaz, jak je
zajištěna zpáteční cestu paketu... Pokud se o to měl postarat uvedený
SNAT, pak by měl být:
iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 25
-d <ev1> -j SNAT --to-source <cas>
Pokud bude použito toto pravidlo, pak již opravdu bude stačit na <ev1>
povolit příchozí pakety jen z <cas>.
Slávek.
Dne út 15. listopadu 2005 22:37 Michal Šafránek napsal(a):
> Podle meho nazoru, pokud se provadi dnat, tak staci, aby na cilovem
> stroji <ev1> byl povoleny port 25 z ip adresy <cas>...
> Pravidla mi pripadaji v poradku, jen bych mozna misto toho druheho dal
> toto (ikdyz nevim, jestli to bude mit nejaky vliv...):
> iptables -t nat -A POSTROUTING -p tcp -s <ev1> --dport 25 -j SNAT --to
> <cas> S vypnutym firewallem na cilovem stroji to vypada jak?
>
> S pozdravem
> Michal Safranek
>
Další informace o konferenci Linux