iptables a modul string
l.vlcek na noel-plus.cz
l.vlcek na noel-plus.cz
Pátek Červen 13 14:36:49 CEST 2008
Dalibor Toman wrote:
> DD,
>
> On Friday, June 13, 2008 1:08 PM ,
> l.vlcek na noel-plus.cz <l.vlcek na noel-plus.cz> wrote:
>
>
>> zdravim,
>>
>> nejak uz na mne pada trudnomyslnost. Nemuzu se dobrat reseni
>> nasledujiciho problemu.
>>
>> Pomoci iptables chci (=musim) presmerovat nektere webove pozadavky,
>> ktere by radi uzivatele na jine stranky, ktere chce zase veleni.
>> Takze jsem si sestudoval, ze pro tyto ucely sepouziva cil DNAT.
>> Tento
>> lze umistit pouze v tabulce NAT a retezcich OUTPUT a PREROUTING.
>> OK, zatim dobry.
>> Kdyz jsem ale chtel pouzit i modul string pro filtrovani
>> pozadovanych
>> textu (stringu), tak mi to proste nechce fungovat.
>>
>> Zadam-li pravidla:
>>
>> $ipt -t nat -A OUTPUT -p tcp -m string --algo bm --string
>> abclinuxu.cz -j DNAT --to-destination "$LocRedir"
>> $ipt -t nat -A OUTPUT -j ACCEPT
>>
>> normalne se mi vlozi do tablulky nat a retezce OUTPUT (pro lokalni
>> uzivatele toho stroje...)
>>
>
>
> tahle to nepujde udelat. Je treba presmerovat cele TCP spojeni - jenze
> v dobe kdy prijde prvni _datovy_ packet od klienta (HTTP hlavicka) je
> jiz spojeni navazano s nejakym WWW serverem - uprostred komunikace
> jej neni mozne presmerovat jinam
>
Jo, to zni rozumne.
Kdyz jsem zmenil cil z DNAT na DROP, chovalo se to stejne, mysleno, ze
se stranka normane nacetla.
Jen nerozumin tomu, proc, kdyz misto tabulky nat pouziju tabulku filter,
tak se pozadovana stranka nenacte, proste to vytika na timeout. To by
melo byt uz TCP spojeni take davno postavene, ne ?
> Bud je nutne tento pozadavek vedeni vymluvit nebo ho realizovat pomoci
> nejake proxy (treba transparentni - pak neni treba klientum nastavovat
> prohlizece aby proxy pouzivaly)
>
Jasne, napadlo me to taky, jen jsem si myslel, ze delam neco blbe a
chtel jsem to opravit...
I kdyz vlastne delam...
:-)
BTW, diky za postrceni.
L.V.
jezevec
Další informace o konferenci Linux