[LUGOS] -j DNAT
Gasper Lakota - Jericek
gasper at bsnet.dhs.org
Tue Nov 18 18:19:59 CET 2003
Živjo,
Sej si sam napisal:
"...nat gre za prepis tistega dela paketka, kjer je zapisan
naslovik/destinacija.."
DNAT naredi to in samo to. Če imaš v IP headerju SRC IP 202.202.202.202
in DST IP 101.101.101.101 (tvoj firewall), na firewallu pa definiran
DNAT na pribl. tak način:
# iptables -t nat -A PREROUTING -d 101.101.101.101 -j DNAT
--to-destination 192.168.1.1 (ip notranje mašine),
bo netfilter spremenil _samo_ DST IP in ničesar drugega => SRC IP ostane
nespremenjen. Se pravi ima IP header sedaj SRC IP 202.202.202.202 in DST
IP 192.168.1.1 (nič ostalega se ne spremeni).
Tisto, drugo, ko notranji IP dobi request od firewallovega notranjega
IP-ja, pa je "port forwarding" in ne NAT.
Zakaj ti pa "enkrat prej" ni delovalo, ti pa ne morem reči, ker ne vem
kakšno situacijo si imel in katere programe si uporabljal.
lp,
G
Martin pravi:
> Pozdrav,
>
> na kratko povedano mi zdj ni vec nic jasno.
>
> Kot razumem dnat gre za prepis tistega dela paketka, kjer je zapisan
> naslovik/destinacija. OK lepo in prav.
>
> Pri meni doma imam malo starejšo namestitev linuxa in ob izvajanju -j DNAT
> targeta (ja deluje) na mašino v lokalni mreži dobim IP od strežnika na
> katerem delam DNAT. Se prov spomnim kak problem je bil takrat, da bi namesto
> IPja z notranje mrežne kartice dobil IP od uporabnika iz interneta (kokr
> transparent dnat). Pa mi to ni uspelo.
>
> Danes nekje drugje postavim 2.4.23rc1+netfilterCVSpaches izvedem DNAT za eno
> izmed mreznih kartic kjer bom imel streznike na neko lokalno masino za ssh
> takole:
> $IPTABLES -t nat -A PREROUTING -p tcp -d 2xx.1xx.2xx.202 --dport 22 -j DNAT
> --to 10.30.0.2
> Še prej sem eth0 (interfacu za internet) dodal ip takole:
> $IP addr add 2xx.1xx.2xx.202/32 broadcast 213.157.225.255 dev $INET
> zraven k že določenem drugem IPju in drugačnim netmaskom.
>
> Anyway DNAT dela a začuda vidim zunanji IP in ne firewallovega.
> Mislim sej to je super, tko se lahko tudi klienti v lokalni mreži brez
> dodatnih pravil lepo povežejo na server preko njegovega internetnega IPja
> (2xx.1xx.2xx.202), samo mene vseeno zanima kaj sem naredil, da DNAT deluje
> transparentno. Sem vključil kako opcijo v kernelu? Kaka druga fora?
>
> Kot vedno vse pripombe, komentarji, etc so dobrodošli.
>
> L.P.
> Martin
>
More information about the lugos-list
mailing list