Dotaz na nastaveni iptables

Jan 'yanek' Bortl yanek na ya.bofh.cz
Středa Duben 26 11:12:00 CEST 2006


Kovář Jan wrote:
> Dobry den.
>  
> Mam jeden problem a tajne doufam, ze by sel vyresit pomoci iptables. Obchodnici pouzivaji PDA a synchronizuji si kalendare, postu a kontkaty s MS Exchange serverem, ktery je uvnitr moji site. Komunikace probiha pres HTTPS. Takze v iptables mam nastaveno, ze pripojeni na 443 predava na Exchange. Vse funguje vyborne. Ovsem jen do te doby, kdyz uzivatel prijde do kancelare a chce synchronizovat PDA pres kolibku pripojenou k pocitaci. Pak se PDA pokusi pripojit k Exchangi, ale prakticky jde na firewall z druhe strany. (Sorry, za hloupe vysvetleni, nakreslim obrazek :-) )
>  
> Internet   - (eth0 + verejne IP)phants01.meggle.cz(eth1 + privatni IP) - lokalni sit - Exchange (mail.meggle.local)
>  
> PDA maji nastaveno synchronizovat s phants01.meggle.cz. Dalo by se to resit tim, ze bych si uvnitr firmy zridil DNS pro meggle.cz a tam bych priradil phants01.meggle.cz adresu, kterou ma mail.meggle.local. To ale udelat z ruznych duvodu nemuzu a ani nechci. Zatim to resim tak, ze na jednom pocitaci mam v hosts nastaveno to, co jsem vyse popsal v DNS a k tomu pocitaci posilam lidi s PDA. Ale doufal jsem, ze by treba mohlo nejak pomoci iptables nastavit, ze pokud prijde neco na eth1 port 443, takze ze by provedl nejakou vymenu cilove adresy. Ale popravde nejsem si moc jisty, jak to udelat. Myslite, ze by to nejak slo?
> Jinak tez uvitam jakykoliv jiny tip, jak to resit.
>  
> Diky
>  
> Honza

On neni ani tak problem v cilove adrese, jako v te zdrojove. Vas server
totiz dostane privatni adresy a na ty primo odpovida, takze PDA dostane
neco co uz nepoznava (komunikovalo s verejnou 1.2.3.4 a vraci se mu
odpoved od 10.0.0.1). Vyresit to muzete snadno asi nejak takto:

iptables -t nat -A POSTROUTING -s vase_lan -d vas_interni_server \
	-p tcp --dport 113 -j SNAT --to-source 1.2.3.4

Todle zpusobi ze vase LAN se bude schovavat za onu verejnou adresu, muze
se schovavat za jakoukoliv jinou, staci aby tato komunikace opet prosla
pres linuxovy fw/router.

-- 
Jan 'yanek' Bortl <yanek /at/ ya.bofh. cz>
http://ya.bofh.cz/ | jabber: yanek /at/ mitranet. cz
-----------------------------------------------------------------
"Maybe one day you will learn that your way is not the only way."
                                        Opher [StarGate: The Nox]


Další informace o konferenci Linux