rhel7, DNAT a neocekavane chovani [trochu delsi]
"Zdeněk Kaminski"
sutr na valasske-laboratore.cz
Neděle Leden 25 17:35:37 CET 2015
Ehm, zacinam byt zdesen. Domnival jsem se, ze k pravidu typu
iptables -t nat -A PREROUTING -i <vnejsi_interface> -p tcp -d
<vnejsi_adresa> --dport <vnejsi_port> -j DNAT --to
<vnitrni_adresa>:<vnitrni_port>
je nutne pridat jeste alespon pravidlo
iptables -t nat -A POSTROUTING -o <vnejsi interface> -p tcp -s
<vnitrni_adresa> --sport <vnitrni_port> -j SNAT --to
<vnejsi_adresa>:<vnejsi_port>
aby fungovalo preposilani paketu do vnitrni site na server B, ale take aby
pakety, ktere server B odesila zpet, aby byly SNATovany (nikoliv
MASQUERADovany) na spravnou adresu a do cile tak dorazily tak, jak cil
ocekava.
No TED jsem si to zkusil na rhel5 (2.6.18-371.6.1.el5) a zjevne mi staci
jen to prvni pravidlo :-( Grrrr.
Delam neco spatne nebo to tak ma chodit?
Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...
Další informace o konferenci Linux