[rlug] Re: Iptables problematic

Fri, 01 Feb 2002 07:02:39 -0800 

From: "m" <[EMAIL PROTECTED]>

>Si acum problema : daca vreau sa ma conectez de pe oricare din
>calc 2,3,4 la calc1 pe unul din porturile 8081, 8082, 8083 nu
>merge!Asadar nu ma DNAT-eaza inapoi catre 192.168.0.10, 11 sau 12!



Hm... Am mai raspuns la intrebarea asta. O sa caut in arhiva listei ca
sa vad de cate ori...

Ce se intampla defapt:
(A) comp cu 192.168.0.1 plus IPREAL
(B) comp cu 192.168.0.11
(C) comp cu 192.168.0.12

(B) trimite pachet (P) la IPREAL. (A) face DNAT in (P), dupa care il
trimite la (C). (C) vede ca sursa a (P) pe (B), drept care ii raspunde
direct lui (B). Care nu pricepe ce se intampla, pentru ca el a trimis
pachet la IPREAL si a primit raspuns de la (C).
In termeni mai generali, pachetele conexiunilor NAT-ate trebuie sa
treaca in ambele sensuri prin acelasi computer (router).

Exista workaround pentru povestea asta. (A) trebuie sa faca SNAT pe (P)
ca sa fie sigur ca raspunsurile ajung tot la el.

Ai deja:
iptables -t nat -A PREROUTING -d 213.x.x.x --dport 8080 -j DNAT
  --to-destination 192.168.0.10:8080
iptables -t nat -A PREROUTING -d 213.x.x.x --dport 8081 -j DNAT
  --to-destination 192.168.0.11:8081
iptables -t nat -A PREROUTING -d 213.x.x.x --dport 8082 -j DNAT
  --to-destination 192.168.0.10:8082

Mai trebuie sa adaugi:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.10 -p
tcp --dport 8080
    -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.11 -p
tcp --dport 8081
    -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.12 -p
tcp --dport 8082
    -j SNAT --to-source 192.168.0.1

By the way, eu in loc de:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT
  --to-destination 213.x.x.x

as pune (neaparat DUPA cele trei de mai sus):
iptables -t nat -A POSTROUTING -s 192.168.0.0/24
    -d ! 192.168.0.0/24
    -j SNAT --to-destination 213.x.x.x


Nu de alta, dar n-ai nici un motiv sa masqueradezi (pardon, snat-ezi)
conexiunile spre reteaua interna.
Sper sa nu-mi fi scapat ceva, ca sunt cam chiaun de raceala.

Bibilografie:
http://netfilter.samba.org/documentation/HOWTO/NAT-HOWTO-10.html
(Se cheama Destination NAT Onto the Same Network)

Spor

Mihai

---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.

Raspunde prin e-mail lui