W dniu 1 września 2010 09:50 użytkownik Mariusz Sielicki <[email protected]> napisał: >> > Router jest na debianie. Skryptami iptables robię nat i firewall. [...]
Witam, możesz rozwiązać ten stary jak świat w następujący sposób : Zmusić (np. przez DHCP) swoich LANowiczów ,żeby korzystali z twojego serwera DNS . Następnie na serwerze definiujesz widok (view) który hostom dobijającym się z LANu będzie tłumaczył nazwe twojej domeny na adres LANowy - stosunkowo mało inwazyjne i proste do wykonania. Dodam ,że nie ma takiej możliwości ,żeby iptablesami zmusić pakiety przechodzące przez router z LANu żeby zawracały przez DNAT do tego LANu. Jeśli chcesz dostać sie na serwer na który jest DNAT przez router na którym ten DNAT jest skonfigurowany ,z wewnątrz sieci , musisz odwołać sie do niego po IP lokalnym - nie ma innej opcji . Wiem ,że cisco wynalazło jakiś sposób ,żeby to obejść w swoich routerach, ale to jest w ogole osobna funkcja poza wszelkimi RFC i za pomocą iptablesów da się to zrealizować bodajże za pomocą jakiś tuneli ipip . Cała sprawa rozbija się o conntrack - myśle ,że można byłoby go oszukać dodatkowym SNATem wewnątrz sieci. Tzn sprawić ,żeby wszystko co przechodzi z sieci lokalnej 192.168.0.0 do routera i miało destination ip serwera LAN , było SNATowane na jakiś adres np. 10.0.0.10 - dzięki temu serwer lokalny wiedziałby ,że "gada" z routerem zamiast z adresem IP ze swojego lanu. Zaznaczam ,że stan mojej wiedzy o tym pochodzi z czasu kiedy były iptables 1.2.7 więc fix me if I'm wrong. pozdrawiam WZ -- Wojciech Ziniewicz http://www.rfc-editor.org/rfc/rfc2324.txt -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
