Portál AbcLinuxu, 15. července 2025 10:09


Dotaz: iptables a presmerovanie z lan naspat

12.8.2003 00:14 linux_juzr
iptables a presmerovanie z lan naspat
Přečteno: 88×
Odpovědět | Admin
Riesim nasledujuci problem:
Z internetu presmerovavam port 80 (web) na server vo vnutri siete. Vnutorna siet je NATovana. Vsetko ide az kym sa nepokusim pripojit na ten web vo vnutri siete z tejto siete.
Ide o to, ze neviem ako nastavit pravidla aby sa dalo pripojit na ten web server z lokalnej lan a prip. aj z firewallu (bezi na nom transparentna proxy).
Problem je asi v tom, ze sa preserovavaju len spojenia ktore pridu na eth0 (internet) ale jadro uz nevie co ma robit so spojeniami ktore pridu odinokadial (tena napr. aj z 127.0.0.1 a lanky)
Skusal som toto: http://www.netfilter.org/unreliable-guides/NAT-HOWTO/NAT-HOWTO.linuxdoc-10.html
ale akosi to nejde.
Dakujem za kazdu radu.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.8.2003 10:04 peter vachan | skóre: 4
Rozbalit Rozbalit vše iptables a presmerovanie z lan naspat
Odpovědět | | Sbalit | Link | Blokovat | Admin
je to len rana na slepo, ale mas na kompoch v lan-ke nastavene v prehliadaci pre ktore adresy nepouzivat proxy??? inak neviem co by tam asi mohlo byt. na mojom FW bezi tiez proxy(squid) a apache a takto to mam urobene.
12.8.2003 10:40 RWS
Rozbalit Rozbalit vše iptables a presmerovanie z lan naspat
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mozna je problem, ze neni dobre nastavena maskarada/SNAT. Prepokladam nasledujici:

Snazim se pripojit na public IP:80, kam jdu pres firewall, tam se ale jeste pred routingem zmeni pomoci DNAT destination public IP na private IP. Jestli je pak nekde v postroutingu nejakej spatnej SNAT a pro -d privatni sit nedela SNAT, tak z firewallu odejde packet, kde source je moje priv.IP na destination priv.IP WWW serveru. A protoze WWW server bude odpovidat na source, ktery je z jeho privatni site, tak to posle primo. Ted jde o to, jestli je to OK, nebo ne, protoze muj pocitace asi ocekava odpoved z public IP, na ktery puvodne sel.

Pokud se snazis pripojit primo z toho stroje na ten samej stroj na localhost, tak to je dost podezrely-muzes chybet povoleni ve firewallu pro prijimani packetu z loopbacku, nebo web nemusi poslouchat na loopbacku (netstat -l -p -n).

Chodi ten WWW server, kdyz se pripojis ze vnitrku site primo na to privatni IPcko (ne pres to public IP)?

12.8.2003 19:06 linux_juzr
Rozbalit Rozbalit vše iptables a presmerovanie z lan naspat
No radsej to sa to pokusim nakreslit:
Internet -> Firewall -> webserver (sam. server v lan) toto je ok
(NATovana siet,len jedna public adresa)

Lan -> Firewall (/DNS cache) -> public adresa:80
toto je ten problem, pretoze na public adrese nepocuva ziaden web server a do preroutingu sa ten paket nedostane (nedosiel z eth0 /teda internet. sietovky/)
No a este by ma tesilo, keby fungovalo aj toto:
Firewall -> public IP:80
pretoze potom by som sa nemusel babrat v konfiguraku SQUIDa (zda sa mi to len akasi "barlicka")
No skusim sa s tym este pohrat, vcera som asi po cca. 2hod. babrania sa s tym zistil, ze som zabudol vypnut transparentnu proxy (teda presmerovanie na proxy), co dost potesilo, ale nepomohlo to...
12.8.2003 19:24 linux_juzr
Rozbalit Rozbalit vše iptables a presmerovanie z lan naspat
No uz som to doriesil - cely problem bol v tom, ze som mal v dnate -i. Teraz to funguje tak ako sa pise v tom how-to.
Ale aj tak by ma este zaujimalo ako to doriesit s tym squidom. (akoze ked idem cez proxy tak to nejde)
dik za pomoc

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.