rhel7, DNAT a neocekavane chovani [trochu delsi]

["Zdeněk Kaminski"]

> Na stroji, který provádí nat a routování, DNAT pravidlo prostě přepíše
> cílovou
> adresu a pak paket pokračuje běžnými cestami routování paketů, včetně
> FORWARD
> pravidly firewallu. To mimochodem znamená, že kdyby FORWARD neměl jako
> výchozí ACCEPT, pak by bylo potřeba pravidlo povolující FORWARD.

Pochopitelne. A samozrejme ve skutecnem firewallu mame u FORWARD politiku
DROP.

> Když by na firewallu bylo mimo DNAT také SNAT pravidlo, pak by cílový
> stroj
> dostal paket nikoliv s původní adresou odesílatele, ale jako odesílatel by
> byla adresa firewallu == byl by tedy ochuzen o informaci, kdo byl skutečný
> odesílatel paketu.

Zde jste me lehce nepochopil. To SNAT pravidlo by se pouzilo ve smeru
stroj_B -> pres branu do sveta puvodnimu odesilateli.

Nikde v dokumentaci jsem se proste nedocetl, ze kdyz pouziji DNAT, tak pri
ceste zpet (tedy z vnitrni site do sveta) se zjisti prislusnot paketu k
existujicimu spojeni a automaticky se provede SNAT. A ze na to tudiz musim
myslet sam.

Cele je to komplikovane i tim, ze nektera spojeni posilame do sveta jinou 
vychozi branou a tudiz vstupni brana si v pameti zbytecne drzi informaci o
spojeni. Byt je mi to jedno, protoze provoz je na mnozstvi pameti a
rychlosti CPU zanedbatelny.

Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...