Portál AbcLinuxu, 7. května 2024 07:11
Ahoj, snad nebudu povidat zadne bludy :).
Pokud prichazi paket z vnejsi site (napr. z IP 1.2.3.4):
paket prichazi z vnitrni site (napr. 10.10.10.89)
Nejak nerozumim tomu, proc chcete natovat po vnitrni siti. Muzete z toho firewallu udelat jakesi zrcadlo za pouziti DNATu i SNATu... takze si bude myslet 10.10.10.88, ze komunikuje primo s tim firewallem.
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8088 -j DNAT --to-destination 10.10.10.88:80
$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.10.88 --dport 80 -j SNAT --to-destination $INET_IP
Nezkousel jsem to, nevim jestli to presne takhle pojede - ale princip je z toho videt.
Ceho presne chcete dosahnout? Takhle aktivne a jeste dvojite :) NATovat v ramci jedne podsiti mi prijde dost divoke. Nejenze se zatezuje sit, ale hlavne ten firewall, protoze u kazdeho natu si musi pamatovat spojeni, tak je to pro nej o dost narocnejsi, nez pouhe routovani.
Pokud vam jde o nejaky podobny pripad, tak vzdy musite zaroven pouzivat pravidla pro PREROUTING i POSTROUTING, aby ten firewall fungoval jako zrcadlo.
Tiskni Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.