[rlug] Re: snat & routing

Thu, 27 Jan 2005 00:26:28 -0800 

Alex 'CAVE' Cernat wrote:

>>Sau ce vrei sa spui prin operatia inversa la DNAT?
>>
>>    
>>
>
>Situatia e in felul urmator:
>- router cu 2 iesiri externe (A si B) si o placa interna (I); ruta
>default externa este prin (A)
>- pachetele care vin pe (B) pe 80 sunt DNAT catre o adresa interna:
>
>[x.x.x.x;b.b.b.b:80]:(eth1) -> DNAT -> [x.x.x.x;i.i.i.i:80] -> ROUTING
>-> [x.x.x.x;i.i.i.i:80]:(eth2)
>
>bun, pachetele de SYN ajung bine mersi pe intern; mai departe internul
>trimite syn-ack-uri
>
>[i.i.i.i:80;x.x.x.x]:(eth2)
>
>pachetele ajung pe eth2 (intern) si se pierd in aer; nu gasesc nici o
>referinta de alte pachete (se mai fac niste operatii de SNAT pe acolo
>pentru pachetele din intern spre exterior - dar numai pentru conexiuni
>initiate de pe intern)
>
>rutarea se face in felul urmator:
>
>default se iese prin (A)
>prin (B) am pus policy routing de pe unele adrese interne si de pe
>adresa b.b.b.b (adresa placii B); din intern totul merge ok, deci policy
>routing e relativ ok
>
>ceva clar imi scapa
>1. ori nu se face conntrack la DNAT, pentru a i se schimba inapoi adresa
>pachetului din i.i.i.i in b.b.b.b, si apoi sa fie rutat prin (B)
>2. ori n-am bagat eu regulile pe unde trebuie
>
>Alex
>
>ps: cui a inteles macar 50% din ce am scris pana acuma i-as da o bere
>  
>
hai sa iti dau un hint. daca iti iese pasenta, promite-mi ca inveti sa 
citesti.

W2K="a.b.c.d"
PORT_WEB=8008

$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -F -t mangle

$IPT -t nat -A PREROUTING -p tcp -i $EXTERNAL_INTERFACE -d $EXTERNAL_IP --dport 
80 -j DNAT --to $W2K:$PORT_WEB
$IPT -t nat -A PREROUTING -p tcp -i $EXTERNAL_INTERFACE2 -d $EXTERNAL_IP2  
--dport 80 -j DNAT --to $W2K:$PORT_WEB
$IPT -t nat -A PREROUTING -p tcp -i $EXTERNAL_INTERFACE2 -d $EXTERNAL_IP2 
--dport 25 -j DNAT --to $W2K:25
$IPT -t mangle -A PREROUTING -p tcp -i $EXTERNAL_INTERFACE -d $W2K --dport 
$PORT_WEB  -j DROP

$IPT -t mangle -A PREROUTING -i $INTERNAL_INTERFACE \
    -m conntrack --ctorigdst $EXTERNAL_IP2 --ctreplsrc $W2K -j MARK  --set-mark 
5



-- 
Cine a zis ca sexul este un raspuns? Sexul este o intrebare. "Da" este 
raspunsul. (Woody Allen)




--- 
Detalii despre listele noastre de mail: http://www.lug.ro/

Raspunde prin e-mail lui