Portál AbcLinuxu, 5. května 2024 16:37


Dotaz: nefunguje POSTROUTING

3.5.2005 15:12 imro | skóre: 19 | blog: hovado
nefunguje POSTROUTING
Přečteno: 166×
Odpovědět | Admin
Na jednom nasom produkcnom routeri mame 5 sietoviek.Z toho su 3 do vnutornych sieti,jedna do DMZ a jedna je smerom do internetu-nazvime si ju eth0.V iptables mam pravidlo-hned na zaciatku

$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to $eth0_ip

Predpokladam,ze toto pravidlo sposobi,ze sa taktiez prepise zdrojova IP adresa pocitacov ktore su umiestnene v DMZ-aj napriek tomu,ze maju verejne ip adresy,pretoze toto pravidlo to prikazuje.Ono to vsak nerobi a ak komunikuje pocitac z DMZ,tak von posiela IP adresu toho pocitaca v DMZ a nie IP adresu routra.Co sa deje?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

3.5.2005 15:58 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
Odpovědět | | Sbalit | Link | Blokovat | Admin
A neprochází ti to pouze přes jinou tabulku v DMZ máš veřejné IP ne ?

Takže to projde pouze přes FORWARD a né přes tabulku nat ?

Pokud píšu blbosti tak mě nekamenujte moc dobře ještě nechápu jak ty jednotlivé tabulky navazují na sebe s těmi postroutingy a preroutingy.
3.5.2005 16:41 imro | skóre: 19 | blog: hovado
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
No,ja som si doteraz myslel,ze to funguje takto:

1.kazdy paket prechadzajuci routerom prejde chainom prerouting,potom sa rozhodne,ci sa forwarduje alebo nie-ak ano,tak prejde chainom forward a nakoniec prejde chainom postrouting.

2.Takze,podla mna by to malo nat-ovat aj compy v DMZ s verejnymi IP adresami

Ako to teda je?
3.5.2005 16:50 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
Každý packet ne, jenom ten, který začne spojení. Takže pro jistotu: O jaká spojení (jakým směrem) ti vlastně jde -- z DMZ ven, nebo zvenku do DMZ?
3.5.2005 19:29 imro | skóre: 19 | blog: hovado
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
Ano,mas pravdu,nat tabulka funguje iba pre prvy paket spojenia.Ide mi o spojenie smeroz z DMZ von do internetu.Doteraz som si myslel,ze kazdy paket zacinajuci spojenie musi prejst PREROUTINGOM a POSTROUTINGOM a ak vyhovuje niektoremu pravidlu v tejto tabulke,tak sa nan aplikuje.To u verejnych IP adries nefunguje?Ide mi hlavne o ten postrouting z DMZ do internetu.Adresy IP v DMZ su samozrejme verejne.
3.5.2005 20:31 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
No dobře, tak je asi něco v nepořádku... když před ten SNAT dáš 
iptables -t nat -A POSTROUTING -o eth0 -j LOG --log-prefix test
tak ty packety vidíš? BTW jakým způsobem je nastavené routování zvenku na ty počítače v DMZ? Jestli tam není z dřívějška zapomenutý SNAT - DNAT...
3.5.2005 20:42 imro | skóre: 19 | blog: hovado
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
Nie,ked to chcem zalogovat,tak nic nevidim.Napr.skus si pingnut 82.99.137.34.Mal by si dostat odpoved od 82.99.137.2,ale dostanes ho z toho compu.To logovanie mi nepomaha.BTW,ten log je uplne prvy v pravidlach,hned ponom nasleduje to pravidlo v POSTROUTING.Pripada mi to fakt divne.Inac,pouzivam debian Sarge a iptables 1.2.11-8.P.S.a necuduj sa,ze ti tu hadzem rovno ip adresy tych compov.Aj tak su verejne dostupne z netu.A tie portscany co denne odchytavam:)))
3.5.2005 20:59 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
Ale tyhle pingy jsou právě "spojení" zvenku do DMZ, takže na ně se to pravidlo nevztahuje (spojení vytvoří ten echo-request zvenku).
3.5.2005 21:02 imro | skóre: 19 | blog: hovado
Rozbalit Rozbalit vše Re: nefunguje POSTROUTING
Jo,mas pravdu,ale ono to nefunguje ani ked sa pingam z DMZ niekam von:((

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.