[linux] IPtables

Peter Ronai linux na my-scotland.sk
Úterý Květen 21 11:24:43 CEST 2002


On Tue, 2002-05-21 at 07:49, Marek Poláček wrote:
> Ahojte
> 
> Mam firewall so SNAT-om celej Lan na IP1 firewallu. Chcem sa spytat, ci
> sa da urobit, ze jedna IP z Lan v pripade, ze ide na jednu IP WAN sa
> bude prekladat na IP2 a ostatne LAN IP po starom na IP1.
> Ak to ide bude treba pridat firewallu dalsie IP kvoli routovaniu?
> 
> Dakujem
> 
> Polacek

takto 
treba si uvedomit filozofiu iptables = first match goes
to znaci ze ked mame snat v postrouting (=masq) a dnat v prerouting
(nebudeme uvazovat o dnat z jednej verejnej na viac ako jednu privatnut
addr) tak dnat v prerouting sa matchne prvy bez ohladu na snat. Zbytok
si obbhospodari conntrack takze to funguje spolu.
Pokial chcte urobit full nat na vsetky porty daneho IP (aj ked v
iptables je to vsetko riesene na baze akoby portforwardingu) a vsetky
protokoly tj nieco ako iptables -A PREROUTING -d $verejna_ip -j DNAT
--to $privatna_ip, nevyhnete sa priradeniu danej ip adresy na vonkajsi
iface stroja. 

To pridanie nie je koli routovaniu lebo ak spravite to iste cez iproute
(ip ro add nat via IP, ip ru add to IP nat IP pref PREF) tak staci potom
spravit arp proxy na vonkajsom interface. Treba podotknut ze to sice
funguje, ale paradoxne, aj ked to funguje na baze routovania, to
fungujem menej dokonale ako iproute (prave koli conntrack). Tu ide v
podstate o portfw like (kazdy connect je akoby forwardnuty na dst IP) a
teda je nutna fyzicka pritomnost adrress/mac resolution na vonkajsom
inteface.

dz





Další informace o konferenci linux