rhel7, DNAT a neocekavane chovani [trochu delsi]

["Zdeněk Kaminski"]

Pavel Kankovsky napsal 27 Leden 2015, 9:40:

>> iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.168 --sport 22 -j
>> SNAT
>> --to-source 194.228.208.24:443
>>
>> Jenze me to na serveru A funguje (dostanu se z Inetu na onen ssh port) i
>> bez toho pravidla. A vubec se mi takove chovani nelibi.
>
> To není chyba, to je vlastnost.

Uaaaaa.

> A takhle to afaik funguje od samého začátku. Může to být trochu matoucí,
> ale má to svou logiku -- má-li překlad adres fungovat, pak je potřeba ho
> aplikovat konzistentně na všechny pakety patřící do jednoho spojení.

Nu, na jednu stranu to smysl ma, na druhou stranu by se mi vsak libilo to
elementarnejsi chovani, tudiz ze si musim k prislusnemu DNAT pravidlu
napsat i jeho bratricka SNAT (nikoliv MASQUERADE, ktere by se melo chovat
jinak nez SNAT).

A protoze nedodavate, ze to lze vynutit napr. v nejakem conntrack modulu
vhodnou option, tak se s tim asi budu muset smirit. Nu coz, vyhazu
prebytecne SNAT pravidla a tim si firewall aspon zjednodusim.

Zarazilo me ale opravdu to, ze  pocitadlo paketu zapocita puze ten prvni
paket a pak jiz pri existujicim spojeni dalsi pakety nezapocitava.

Jan Marek napsal 26 Leden 2015, 15:24:
> To jedno pravidlo nestačí. Ale Vy tam přece musíte mít
> MASQUERADE-u nebo SNAT pro ostatní provoz z vnitřní sítě, nebo se
> mýlím?

Jane, zijete ve stejnem omylu, v jakem jsem zil doted ja. A to mi dokonce
Yenya dal "zapocteno" ve svem seminari...

Preji pekny den.

Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...