rhel7, DNAT a neocekavane chovani [trochu delsi]

[Jan Marek]

Dd,

On Sun, Jan 25, 2015 at 05:35:37PM +0100, "Zdeněk Kaminski" wrote:
> Ehm, zacinam byt zdesen. Domnival jsem se, ze k pravidu typu
> 
> iptables -t nat -A PREROUTING -i <vnejsi_interface> -p tcp -d
> <vnejsi_adresa> --dport <vnejsi_port> -j DNAT --to
> <vnitrni_adresa>:<vnitrni_port>
> 
>  je nutne pridat jeste alespon pravidlo
> 
> iptables -t nat -A POSTROUTING -o <vnejsi interface> -p tcp -s
> <vnitrni_adresa> --sport <vnitrni_port> -j SNAT --to
> <vnejsi_adresa>:<vnejsi_port>
> 
> aby fungovalo preposilani paketu do vnitrni site na server B, ale take aby
> pakety, ktere server B odesila zpet, aby byly SNATovany (nikoliv
> MASQUERADovany) na spravnou adresu a do cile tak dorazily tak, jak cil
> ocekava.

v podstatě jo, ale třeba je MASQUERADING na Linuxu tak
inteligentní, že to dokáže pohlídat?

Osobně bych to pravidlo do POSTROUTING-u dal _před_ pravidlo na
MASQUERADE a IMHO by to mělo chodit správně.

Ostatně, můžete přece použít tcpdump nebo tethereal a podívat se,
jak vypadají pakety na odchozím rozhraní...

> 
> No TED jsem si to zkusil na rhel5 (2.6.18-371.6.1.el5) a zjevne mi staci
> jen to prvni pravidlo :-( Grrrr.

To jedno pravidlo nestačí. Ale Vy tam přece musíte mít
MASQUERADE-u nebo SNAT pro ostatní provoz z vnitřní sítě, nebo se
mýlím?

> 
> Delam neco spatne nebo to tak ma chodit?
> 

No, třeba jste narazil na bug... :-)

> 
> Z.K.
> --

Zdraví
Honza Marek
-- 
Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls 
University of South Bohemia  | nebo .ppt, prectete si, prosim,
Academic Computer Centre     | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080       | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html