Podivne se chovajici PREROUTING

Ahoj, mam sit, kterou mi chrani/routuje firewall, kde mam tyto pravidla:

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8088 -j DNAT --to-destination 10.10.10.88:80

a pak to povolim

$IPTABLES -A FORWARD -p tcp -d 10.10.10.88 --dport 80 -j ACCEPT

No a nejvice zajimave na tom je, ze z venku- jine site,jiny ISP se dostanu, presneruje me to, ale kdyz jsem uvnitr site, za danym firewallem-routerem, a dam http://verejna_IP:8088, tak mi to nejede.

Prosim nevite, kde delam chybu? Diky moc, karel

Ahoj, snad nebudu povidat zadne bludy :).

Pokud prichazi paket z vnejsi site (napr. z IP 1.2.3.4):

na firewall prijde paket smerujici na port 8088 -> je zmenena jeho cilova IP na 10.10.10.88:80
pocitac 10.10.10.88 vygeneruje odpoved pro 1.2.3.4
nat funguje tak, ze si pamatuje prislusne spojeni a pri ceste zpatky vrati danou zmenu -> zdrojova ip se zmeni z 10.10.10.88 na IP_firewallu
vsichni jsou spokojeni a komunikace probehla v poradku

paket prichazi z vnitrni site (napr. 10.10.10.89)

nahradu udela stejnym zpusobem jako v prvnim pripade
pocitac vygeneru odpoved pro 10.10.10.89, jenze ten je na stejne podsiti -> paket uz neprojde pres firewall, ale primo tomu pocitaci. Ale ten posilal paket firewallu, nikoli 10.10.10.88 -> paket je zahozen

Nejak nerozumim tomu, proc chcete natovat po vnitrni siti. Muzete z toho firewallu udelat jakesi zrcadlo za pouziti DNATu i SNATu... takze si bude myslet 10.10.10.88, ze komunikuje primo s tim firewallem.

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8088 -j DNAT --to-destination 10.10.10.88:80

$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.10.88 --dport 80 -j SNAT --to-destination $INET_IP

Nezkousel jsem to, nevim jestli to presne takhle pojede - ale princip je z toho videt.

26.9.2004 19:29 Karel
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING

DIky moc za objasneni, uz to chapu!

Tedkom to jeste budu zkouset, diky!

Karel

1.10.2004 08:45 Karel
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING

Diky, ono to funguje, prave kdyz pouziji ten POSTROUTING

$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.10.88 --dport 80 -j SNAT --to-destination $INET_IP

ale kdyz tam napisi dve takove pravidla pod sebe - mam vice IP, ktere bych takhle chtel udelat, tak to uz nejede, tedy jede jen ta prvni :-(

Nevite proc?

Karel

1.10.2004 18:08 Jarda Kotěšovec (athli) | skóre: 17 | blog: athli
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING

Ceho presne chcete dosahnout? Takhle aktivne a jeste dvojite :) NATovat v ramci jedne podsiti mi prijde dost divoke. Nejenze se zatezuje sit, ale hlavne ten firewall, protoze u kazdeho natu si musi pamatovat spojeni, tak je to pro nej o dost narocnejsi, nez pouhe routovani.

Pokud vam jde o nejaky podobny pripad, tak vzdy musite zaroven pouzivat pravidla pro PREROUTING i POSTROUTING, aby ten firewall fungoval jako zrcadlo.

Dotaz: Podivne se chovajici PREROUTING

Odpovědi