iptables

[Tomáš Koželuh]

Díky moc, to je přesně ono, sám bych na to nepřišel...

> -----Original Message-----
> From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf
> Of Jirka Havelka
> Sent: Sunday, March 11, 2012 4:00 PM
> 
> Dobrý den,
> 
> > Je to divný, podle tcpdumpu se komunikace zařezává: R 0:0(0) ack
> > 2518482954 win 0, je to tak?
> > Takže rovnou přihazuju pravidla, kterých by se to mělo týkat:
> > iptables -A INPUT -p tcp --dport 3778 -m state --state NEW -j ACCEPT
> Toto pravidlo se neuplatní, protože je už port přepsán na 22. Pokud by
> bylo třeba rozlišit pakety, které přišly přímo na port 22 od paketů kde
> byl dport přepsán, je třeba v MANGLE tabulce paket "omarkovat".
> 
> Např.:
> iptables -t mangle -A PREROUTING -i $wan -p tcp --dport 3778 -j MARK --
> set-mark 1
> 
> a pravidlo pak bude:
> iptables -A INPUT -p tcp --dport 22 -m mark --mark 1 -m state --state
> NEW -j ACCEPT
> 
> > iptables -t nat -A PREROUTING -p tcp --dport 3778 -i $wan -j DNAT --
> to
> > verejna_IP:22 (zkoušel jsem i vnitřní IP) iptables -t nat -A
> > POSTROUTING -p tcp --dport 22 -j SNAT --to
> > verejna_IP:3778
> >
> > na konci pak zahazování packetů:
> > iptables -A INPUT -p tcp -i $wan -j REJECT --reject-with tcp-reset
> Pokud je moje úvaha správná, měl být v původním stavu pomocí tcpdump
> vidět ten reject?