Hello rlug, Problema: se dau sa zicem 4 calc intr-un lan:192.168.0.1, 10, 11, 12 (utp+hub/switch) Pe calc1 cu 192.168.0.1 punem linux, pe alealalte orice :win linux, whatever Pe primul mai avem si eth1:213.x.x.x in care intre un cable modem si stabilim urmatoarele reguli cu iptables : ##regula 1: iptables -t nat -A PREROUTING -d 213.x.x.x --dport 8080 -j DNAT --to-destination 192.168.0.10:8080 ##regula 2: iptables -t nat -A PREROUTING -d 213.x.x.x --dport 8081 -j DNAT --to-destination 192.168.0.11:8081 ##regula 3: iptables -t nat -A PREROUTING -d 213.x.x.x --dport 8082 -j DNAT --to-destination 192.168.0.10:8082
##regula 4: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-destination 213.x.x.x Buun...in momentul asta calc 2,3,4 pot iesi pe inet si de asemenea oricine din inet vrea sa se conecteze la 213.x.x.x :8080-8082 ajunge la calc 2,3,4 porturile 8080, 8081, 8082.Pe verificate. Si acum problema : daca vreau sa ma conectez de pe oricare din calc 2,3,4 la calc1 pe unul din porturile 8081, 8082, 8083 nu merge!Asadar nu ma DNAT-eaza inapoi catre 192.168.0.10, 11 sau 12! Stiu ca pare stupid sa ma conectez de pe 192.168.10 catre 213.x.x.x:8081 in loc sa o iau direct catre 192.168.0.11:8081 dar in situatia mea chiar ASA TREBUIE sa fac.Si nu merge! Cata vreme cineva din inet incearca o legatura catre 213.x.x.x:8080 este trimis catre 192.168.0.10:8080.De ce nu este valabil lucrul asta si cand se fac cereri catre 213.x.x.x:8080 din propriul lan? Am pus un linux pe 192.168.0.10, am deschis un server pe 8080 si am pornit un tcpdump.Apoi am dat un telnet 192.168.0.1 8080 Tcpdump zice ceva de genul : 192.168.0.10:1024 > 192.168.0.1:8080 192.168.0.10:1024 > 192.168.0.10:8080 Ai zice ca s-a conectat catre el insusi pana la urma, dar cu netstat aflu ca defapt a trimis un syn (sau mai multe) care nu e acceptat Telnetul nu moare (ca atunci cand nu as avea deschis portul 8080) dar nici nu se conecteaza.Cred ca pachetele ajung la destinatie dar nu stiu pe unde sa se intoarca Dupa ce mi-am stors creierii o zi intreaga si m-am jucat si cu parametrul -i eth0 sau -i eth1 in regulile 1, 2 si 3 am ajuns la concluzia ca atata vreme cat DNAT-are se face de pe o interfata pe alta smecheria merge, dar in momentul cand pachetele intra pe o interfata si ies tot p-acolo jucaria nu mai functioneaza. Regulile iptables au fost inserate pe un REDHAT 7.2 cu kernel de la mama lui adica 2.4.7 Si fiindca am zi mai sus ca ASA TREBUIE sa ma si explic: www.ifriends.com Am un softuletz de webcam pe win care pe lanaga faptul ca imi arata moaca chinuita :) mai actioneaza si ca server pe portul 8080.Apoi ma conectez la www.ifriends.com bag niste parole si din momentul ala fac un fel de videochat.Cine mai intra pe www.ifriends.com si tine mortis sa ma vada are un aplet java in browser care se conecteaza la mine la 213.x.x.x:8080 si ma vede.El reuseste, problema este ca si eu am in browser acelasi aplet in care ar trebui sa ma vad.Numai ca apletul stie de ip-ul meu extern 213.x.x.x si nu de ala intern 192.168.0.10. Trimite niste SYN-uri catre interfata externa a routerului linux adica 213.x.x.x dar din pacate raman doar SYN-uri :( Scuze pentru mesajul atat de lung dar am vrut sa fiu cat mai explicit privind natura problemei mele. -- Best regards, m mailto:[EMAIL PROTECTED] _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
