rhel7, DNAT a neocekavane chovani [trochu delsi]
Jan Marek
jmarek na jcu.cz
Pondělí Leden 26 15:24:29 CET 2015
Dd,
On Sun, Jan 25, 2015 at 05:35:37PM +0100, "Zdeněk Kaminski" wrote:
> Ehm, zacinam byt zdesen. Domnival jsem se, ze k pravidu typu
>
> iptables -t nat -A PREROUTING -i <vnejsi_interface> -p tcp -d
> <vnejsi_adresa> --dport <vnejsi_port> -j DNAT --to
> <vnitrni_adresa>:<vnitrni_port>
>
> je nutne pridat jeste alespon pravidlo
>
> iptables -t nat -A POSTROUTING -o <vnejsi interface> -p tcp -s
> <vnitrni_adresa> --sport <vnitrni_port> -j SNAT --to
> <vnejsi_adresa>:<vnejsi_port>
>
> aby fungovalo preposilani paketu do vnitrni site na server B, ale take aby
> pakety, ktere server B odesila zpet, aby byly SNATovany (nikoliv
> MASQUERADovany) na spravnou adresu a do cile tak dorazily tak, jak cil
> ocekava.
v podstatě jo, ale třeba je MASQUERADING na Linuxu tak
inteligentní, že to dokáže pohlídat?
Osobně bych to pravidlo do POSTROUTING-u dal _před_ pravidlo na
MASQUERADE a IMHO by to mělo chodit správně.
Ostatně, můžete přece použít tcpdump nebo tethereal a podívat se,
jak vypadají pakety na odchozím rozhraní...
>
> No TED jsem si to zkusil na rhel5 (2.6.18-371.6.1.el5) a zjevne mi staci
> jen to prvni pravidlo :-( Grrrr.
To jedno pravidlo nestačí. Ale Vy tam přece musíte mít
MASQUERADE-u nebo SNAT pro ostatní provoz z vnitřní sítě, nebo se
mýlím?
>
> Delam neco spatne nebo to tak ma chodit?
>
No, třeba jste narazil na bug... :-)
>
> Z.K.
> --
Zdraví
Honza Marek
--
Ing. Jan Marek | Nez mi poslete prilohu .doc, .xls
University of South Bohemia | nebo .ppt, prectete si, prosim,
Academic Computer Centre | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080 | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html
Další informace o konferenci Linux