iptables PREROUTING/POSTROUTING

[Slavek Banko]

1. Pokud provedete DNAT, tak se to netýká zdrojové adresy. Pokud tedy 
<cas> neprovede ještě SNAT, tak na <ev1> budou přicházet pakety s původní 
zdrojovou adresou == povolit na <ev1> jen pakety z <cas> by nestačilo.

2. Druhé pravidlo mi nepřipadá v pořádku:
 iptables -t nat -A POSTROUTING -p tcp -s <ev1> --source-port 25 -j SNAT
 --to-source <cas>

Pokud pravidlo mělo zajistit, aby na <ev1> přicházely pakety se zdrojovou 
adresou <cas>, pak je chybně. Ostatně proto můj původní dotaz, jak je 
zajištěna zpáteční cestu paketu... Pokud se o to měl postarat uvedený 
SNAT, pak by měl být:

  iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 25
    -d <ev1> -j SNAT --to-source <cas>

Pokud bude použito toto pravidlo, pak již opravdu bude stačit na <ev1> 
povolit příchozí pakety jen z <cas>.

Slávek.

Dne út 15. listopadu 2005 22:37 Michal Šafránek napsal(a):
> Podle meho nazoru, pokud se provadi dnat, tak staci, aby na cilovem
> stroji <ev1> byl povoleny port 25 z ip adresy <cas>...
> Pravidla mi pripadaji v poradku, jen bych mozna misto toho druheho dal
> toto (ikdyz nevim, jestli to bude mit nejaky vliv...):
> iptables -t nat -A POSTROUTING -p tcp -s <ev1> --dport 25 -j SNAT --to
> <cas> S vypnutym firewallem na cilovem stroji to vypada jak?
>
> S pozdravem
> Michal Safranek
>