[rlug] Re: iptables si REDIRECT/tunelare ssh dinamica

Stefan Laudat Mon, 16 Apr 2001 05:14:29 -0700

nu prea pricep clar ce vrei aici, insa de ce nu folosesti MASQ+fwmark
peste niste tunele GRE ? chiar vrei portfw ? nu prea inteleg.

On Mon, Apr 16, 2001 at 04:31:25PM +0300, Bogdan Marinca wrote:
> 
> 
>       Am urmatoarea problema. Folosesc kernelul 2.4.x (deci cu noul netfilter). 
> Vreau sa fac un script (programel) care sa care sa realizeze urmatoarele: 
> pentru un anumit cont dat (numai pentru el), conexiunile TCP initiate de 
> catre procesele acestuia cu un remote host sa fie tunelate prin ssh automat 
> catre un alt host (sa zicem mai ``local'') care, evident ca are sshd 
> listening si port forwarding activat. Asta, automat, indiferent de perechea 
> RemoteHost:Port la care vrea procesul sa se conecteze.
>       Sincer, n`am citit prea multa documentatie, dar, in mare, m`am gandit la 
> varianta urmatoare:
>       - creez un script care asculta pe 127.0.0.1:port1 dar pachete IP raw (fara 
> sa fie implicat TCP`ul aicea)  si pun o regula cu targetul DENY pentru a nu 
> se raspunde la SYN`urile catre acest port;
>       - cu iptables, ptr acest cont specificat,  fac REDIRECT ptr orice pachet, cu 
> destinatie spre o pereche (remote) RemHost:RemPort, catre 127.0.0.1:port1 (ca 
> sa`i vina SYN`urile aici);
>       - deci scriptul va primi pachetele cu SYN, va extrage perechea 
> RemHost:PemPort ceruta si va lansa ssh pentru a tunela de la 
>       127.0.0.1 : (base_port + RemPort) catre RemHost:RemPort (prin acel 
> host-proxy local)
>       - acum pun iptables sa faca REDIRECT ptr pachete cu dest RemHost:RemPort la
>       127.0.0.1 : (base_port + RemPort) (dar aici ar trebui sa fac un fel de MASQ 
> ca sa rezolve si redirectu  ptr pachetele de raspuns, oare se poate asta?)
>       
>       Chiar daca ar merge, mi se pare cam complicata varianta asta ... nu exista 
> oare o solutie mai simpla? 
> 
>       Merci anticipat ptr orice sugestie (si scuze ptr lungimea mesajului) !
> 
> Bogdan Marinca
> ---
> Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> unsubscribe from this list.
> 

-- 
Stefan Laudat
CCNA & CCAI
-------------
'Son, Never try because trying is the first step to failure.'    
                                        -Homer Simpson
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.
[rlug] Re: iptables si REDIRECT/tunelare ssh dinamica

Raspunde prin e-mail lui
