On Wednesday 28 May 2003 09:07, Alex 'CAVE' Cernat wrote:
> ma intereseaza sa fac un full nat ( cu alte cuvinte sa am o
> corespondenta 1:1 ip_real <-> ip_nerutabil ). Regulile de SNAT si
> DNAT ar fi ceva in halul:
>
> iptables -t nat -I POSTROUTING -j SNAT -s $nerutabil -d any/0
> --to-source $real
> iptables -t nat -I PREROUTING -j DNAT -s any/0 -d $real --to-dest
> $nerutabil
> ( nu va luati de --to-source si --to-dest, tre sa dau si un man
> iptables, nu sunt mafalda sa le tin minte pe toate )
Mai putin ordinea parametrilor, in rest pare ok.
> my question is: cele doua reguli nu s-ar putea sa se bata cap in cap
> ? sau linuxul totusi e destul de destept sa faca mai intai 'reverse
> snat', respectiv 'reverse dnat' (adica operatiile inverse de
> snat/dnat, la pachetele de raspuns), inainte de a face
> SNAT/DNAT-urile respective ?
Prima regula are grija de traficul _initiat_ din interior, a doua de
cel initiat din exterior. Daca nu urmaresti sa oreri servicii, sau sa
foloseti protocoale dubioase care fac conexiuni inverse, prima e
suficient.
Prin tabela nat nu trec decat pachetele care initiaza o conexiune. Dupa
ce aceasta a fost initaita, pachetele care fac parte din conexiunea
respectiva, urmeaza calea stabilita. Asta poti vedea usor, cu un
download mai mare, si dupa ce acesta a inceput, scoti regula cu SNAT,
si vei vedea cum downloadul continua.
MihaiM
