rhel7, DNAT a neocekavane chovani [trochu delsi]

"Zdeněk Kaminski" sutr na valasske-laboratore.cz
Neděle Leden 25 17:35:37 CET 2015


Ehm, zacinam byt zdesen. Domnival jsem se, ze k pravidu typu

iptables -t nat -A PREROUTING -i <vnejsi_interface> -p tcp -d
<vnejsi_adresa> --dport <vnejsi_port> -j DNAT --to
<vnitrni_adresa>:<vnitrni_port>

 je nutne pridat jeste alespon pravidlo

iptables -t nat -A POSTROUTING -o <vnejsi interface> -p tcp -s
<vnitrni_adresa> --sport <vnitrni_port> -j SNAT --to
<vnejsi_adresa>:<vnejsi_port>

aby fungovalo preposilani paketu do vnitrni site na server B, ale take aby
pakety, ktere server B odesila zpet, aby byly SNATovany (nikoliv
MASQUERADovany) na spravnou adresu a do cile tak dorazily tak, jak cil
ocekava.

No TED jsem si to zkusil na rhel5 (2.6.18-371.6.1.el5) a zjevne mi staci
jen to prvni pravidlo :-( Grrrr.

Delam neco spatne nebo to tak ma chodit?


Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...



Další informace o konferenci Linux