Routovanie vs iptables
Jan Houstek
Jan.Houstek na mff.cuni.cz
Pondělí Březen 6 11:02:22 CET 2006
On Mon, 6 Mar 2006, linux na mga.sk wrote:
> 1. Routovanie smerom von mam vyriesene. Zial, zatial ho mam vyriesene s tym, ze
> funguje iba ked je vypnuty firewall. Musim sa s tym este pohrat - aspon sa
> nieco naucim ;)
[...]
> 3. Routovanie zvonka smerom dnu na IPkamery zatial nemam vyriesene.
[...]
> Ak by ste este niekto vedel ako rozbehat routing zvonka na tie kamery vo
> vnutornej sieti - budem happy ;)
Routovanim to nebude, predpokladam, ze ten router vidi jak na internet,
tak do te vnitrni site, a nepredpokladam, ze byste pouzil nejaka jina
routovaci kriteria nez podle cilove IP. Z toho se da usuzovat, ze
routovaci tabulka jako takova je v poradku.
Takze problem je s nejvyssi pravdepodobnosti ve firewallu. Co se smeru ven
tyka, je potreba povolit v tabulce filter, chain FORWARD pakety, ktere
jdou z vnitrni site (lze matchovat dle IP a/nebo iterface) a miri do
internetu (nejlepe matchovat dle interface). Pozor, a soucasne musite
povolit opacny smer, coz se v iptables nejjednoduseji udela pomoci matche
-m state --state ESTABLISHED,RELATED
Pokud jde o DNAT pro kamery, je potreba jednak udelat ten preklad adres,
tj. neco jako -d <verejna_ip> -p tcp --dport 80 -j DNAT --to-destination <kamera_ip>
v tabulce nat, chain PREROUTING, a jednak ty pakety povolit v tabulce
filter, chain FORWARD (a opet, nezapomenout i na opacny smer).
-- Honza Houstek
Další informace o konferenci Linux