[linux] routeovacie tabulky NAT zvnutra do vnutra
Peter Surda
shurdeek na routehat.org
Pátek Leden 28 12:46:52 CET 2005
On Thu, Jan 27, 2005 at 02:47:05PM +0100, peto wrote:
> >>iptables -A FORWARD -i eth1 -o eth1 -p tcp -dport 80 -m state
> >>NEW,ESTABLISHED,RELATED -j ACCEPT
> >Neefektivne (ale ja som co sa tyka iptables fajnsmeker :-))
> a ako by to bolo efektivne hlavne ak NAT vonkajsiu IP pouizva viac nez
> jeden vnutorny ciel 1 masina XDMCP 2. masina web ftp atd a dalsia
> dalsie sluzby
Da sa to optimalizovat pouzitim cejnov a pravidiel vo vhodnom poradi. Ja
napriklad state RELATED,ESTABLISHED akceptujem na zaciatku bez dodatocnych
parametrov, a potom ostatne pravidla sa tykaju automaticky len novych spojeni,
cim vo vacsine pripadov znizim cas, ktory paket potrebuje, aby prebehol cez
iptables.
> >Potrebujes este jeden SNAT:
> >iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -j SNAT
> >--to-source
> >nejaka_ip_adresa_routra_malo_by_byt_jedno_ci_interna_alebo_externa
> Vdaka, to pomohlo, len matne vsak chapem o co ide. Ak sa nemylim tak
> vlastne pri preroutovani z vnutornej do vnutornej zmen IP na IP router-a
Pokial to nespravis, odpoved nepojde cez router ale priamo (lebo IPcky su v
tom istom subnete), bude mat pochopitelne povodnu adresu a client ju teda
nebude vediet priradit existujucemu spojeniu.
> Peto
S pozdravom,
Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023
--
...and that is how we know the Earth to be banana-shaped.
Další informace o konferenci linux