Portál AbcLinuxu, 9. května 2025 18:53

Dotaz: DNATující stroj != default gw

10.9.2009 17:15 Petr Dvořák
DNATující stroj != default gw
Přečteno: 305×
Odpovědět | Admin

Dobrý den,

řeším následující problém:

schéma: http://www.pixhost.org/show/154/686207_situace.jpg

1. PC uživatele s přístupem na internet

2. server s IP veřejnou, všechny venkovní porty jsou přenášeny na server 3.

3. server poskytující službu.. např. na portu 80

4. defaultní brána do internetu

 

Jde mi o následující - uživatel zašle dotaz na IP serveru 2., ten změní target IP na PC3, ten dotaz zpracuje a odešle data přes GW(4.) k uživateli, který pakety pravděpodobně odmítne, protože z jeho pohledu jde o nevyžádaná data pocházející z jiné IP, než kterou "volal"

Věděl by někdo jak se z této situace dostat?

 

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

10.9.2009 17:49 posejdon
Rozbalit Rozbalit vše Re: DNATující stroj != default gw
Odpovědět | | Sbalit | Link | Blokovat | Admin
Bych reseni videl v tom, ze ten dnatujici stroj bude dotycne spojeni zaroven snatovat, pak se to vrati stejnou cestou
11.9.2009 15:04 frr | skóre: 34
Rozbalit Rozbalit vše Re: DNATující stroj != default gw
Odpovědět | | Sbalit | Link | Blokovat | Admin

Takhle to podle mého nemůže fungovat. Asymetrický routing v kombinaci s NATem... to není dobrý nápad :-) Problém je v tom, že ten DNAT musí zajistit i zpětný překlad vracejících se paketů. V Linuxu to obvykle souvisí s tím, že si DNATující stroj dokonce drží stateful informaci o každé DNATované relaci.

Odpověď zní: zajistěte, aby se pakety od konkrétního cílového stroje vracely zpátky ven skrz tu DNATující mašinu (která není default gatewayí pro danou vnitřní síť). Hint: specifický statický route pro ten venkovní stroj na cílovém stroji?

[:wq]
11.9.2009 15:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: DNATující stroj != default gw
Odpovědět | | Sbalit | Link | Blokovat | Admin
Máte dvě možnosti – ta univerzální je, že DNATující stroj bude dělat zároveň SNAT, aby se odpověď vrátila zase jemu. Nevýhoda je, že každý paket půjde po síti dvakrát, místo aby šel jednou přímo. Druhá možnost je poskytovat lokálním strojům jiné DNS odpovědi, aby se lokální stroje ptaly přímo serveru na jeho lokální IP adrese. To samozřejmě bude fungovat jenom tam, kde se používá DNS a ne přímo IP adresy.

A pak je ještě třetí, nejsprávnější možnost – nepoužívat NAT. Už aby se to IPv6 opravdu rozšířilo…

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.