Nefunkcni prerouting

Dotaz: Mam nastaveny PC jako bridge. Jde mi o to, ze potrebuju presmerovat prichozi port na rozhrani eth0 na jiny PC a zarizeni. Takze mi jde o to, ze na na bridge se pripojim na port napr. 8888 a bridge mi presmeruje tento port na jine PC, ktere je na stejne siti. Nejde mi o to abych smerouval jako pres router na adresu uvnitr site za router. Jde mi o to abych packety na port 8888 presmeroval na jine pc na port treba 80. Jsem rozhodnutej zrusti i bridge a nechat to jako eth0,a vypnute eth1, ale nejelo to ani tak. Pouzil jsem iptables -t nat -A PREROUTING -i eth0 -p tcp -d 10.0.0.2 --dport 8888 -j DNAT --to 10.0.0.X:80 a zkousel jsem i iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to 10.0.0.X:80 + spostu dalsich ruznych nastaveni s SNATem jako napr. iptables -t nat -A POSTROUTING -p tcp -s 10.0.0.X --source-port 80 -j SNAT 10.0.0.2:8888

a stejne to nejede. Mate nekdo nejakej opravdu vyzkousenej napad? Uz se s tim nejakou chvili lopotim a nejde mi to. Dik moc

Odpovědi

Nějaké další informace by nebyly? Třeba něco jako iptables -t nat -L, výsledky pozorování tcpdumpu (zda packet přišel na stroj a zase jej opustil na příslušném interface), iptstate, ...

5.12.2007 12:16 mika_hakkinen | skóre: 7 | olbramkostel
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

co takhle máš ten port 8888 povolenej na firewallu.

5.12.2007 21:58 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Jasne portna FW povolenej je ...

5.12.2007 22:03 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Kdyz se vseobecne zeptam, jak by jsi presmerovaval port ty? potrebuju ho presmerovat na port ve stejne siti na sluzbu, ktera bezi na jinem PC ....

6.12.2007 00:21 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Vypis: Chain PREROUTING (policy ACCEPT) target prot opt source destination snazim se presmerovat na IP 10.0.0.1, adresa ve stejne siti .... DNAT tcp -- anywhere baci.gw.cz tcp dpt:8888 to:10.0.0.1:80

a tento radek mi funguje jak ma, ale rozdilem je, ze se jen odkazuji ja jiny port na stejnem PC na ktere se prihlasuji DNAT tcp -- anywhere baci.gw.cz tcp dpt:222 to:10.0.0.2:22

Můžete, prosím, pro formátování výpisů kódu používat tag <pre>, Díky.

K problému samotnému. Nafunguje vám přístup na port 8888 z jiné sítě, nebo z té samé sítě, kde je i router a server? Pokud je problém v přístupu ze stejné sítě, je to nejspíš tím, že server se snaží odpovídat klientu přímo (podle IP adresy vidí, že je na stejné síti), ale klient neočekává odpověď od serveru, ale od routeru. Pak je potřeba na routeru dělat i SNAT a jako odchozí IP adresu nastavit IP adresu routeru (aby server odpověděl zpět routeru a ten měl šanci udělat reverzi k DNATu).

6.12.2007 17:05 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

omlouvam se nenapadlo mne to formatovani, zkusim nastavit snat a ip routeru a pak dam vedet, diik

9.12.2007 14:06 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Omlovam se, predchozi prispevek byla uplna hloupost .... myslis ze by se to dalo takto? Asi jsem se nekde upsal nebo to takto vubec nemuze byt protoze to nejede :-(

Pokud to rozepisu, tak tento radek by mel presmerovat port a ip na stroj na ktery potrebuju

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 10.0.0.2 --dport 8888 -j DNAT --to 10.0.0.1:80

Tento radek by mel udelat to, ze zmeni zdrojovou IP adresu za adresu meho stroje a odesle pozadavek na adresu kde bezi server ke kteremu se potrebuju pripojit

iptables -t nat -A POSTROUTING -d 10.0.0.1 -s 10.0.0.0/24 -p tcp --dport 80 -j SNAT --to 10.0.0.2:8080

Dikk moc

9.12.2007 12:48 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Tak jsem to zkousel i s SNAT

iptables -t nat -A POSTROUTING -p tcp -s 10.0.0.X --source-port 80 -j SNAT 10.0.0.1:8080

A nejede to ani takto, adresa routeru na siti je 10.0.0.1

9.12.2007 13:29 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Tohle podle mne vůbec nemohlo projít, má to špatnou syntaxi. Buď použijte cíl MASQUERADE (který použije jako odchozí IP adresu adresu odchozího rozhraní), nebo vedle cíle SNAT musíte použít ještě --to-source ip_adresa_routeru (bez portu).

Tedy

iptables -t nat -A POSTROUTING -p tcp -s 10.0.0.X --source-port 80 -j MASQUERADE

nebo

iptables -t nat -A POSTROUTING -p tcp -s 10.0.0.X --source-port 80 -j SNAT --to-source 10.0.0.1

V každém případě potřebujete použít SNAT spolu s DNATem – DNAT na přesměrování na jiný server, SNAT aby server odpověděl zpátky routeru a ne přímo počítači v lokální síti.

9.12.2007 14:11 baci | skóre: 11
Rozbalit Rozbalit vše Re: Nefunkcni prerouting

Super diik za radu, zkusim to. Predchozi moje omluva za hloupost co jsme napsal prisla pozdeji nez jsi tam pridal prispevek ty. Zkusim tvoji radu a dam vedet .....

Dotaz: Nefunkcni prerouting

Odpovědi