[LUGOS] -j DNAT

Martin martin at amadej.si
Tue Nov 18 18:23:34 CET 2003


Jah kul to, se bomo pa brali spet, ko mi enkrat DNAT ne bo delal kot DNAT pac 
pa kot port forwarding. Mogoče še nahitro, če kdo iz glave ve kako bi potem 
izgledalo "port forwarding" pravilo po funkcionalnosti enakovredno temu 
DNATu, samo da se prepise se source address.
-j FORWARD al kaki target je ze, se mi zdi, da sem lahko samo lokalno 
forwardiru requeste iz enga porta na druzga, ne pa na drugo masino, (uporabno 
za transparent proxy z sqidom.)

Hvala za inf. in L.P.
Martin

On Tuesday 18 of November 2003 18:19, Gasper Lakota - Jericek wrote:
> Živjo,
>
> Sej si sam napisal:
> "...nat gre za prepis tistega dela paketka, kjer je zapisan
> naslovik/destinacija.."
> DNAT naredi to in samo to. Če imaš v IP headerju SRC IP 202.202.202.202
> in DST IP 101.101.101.101 (tvoj firewall), na firewallu pa definiran
> DNAT na pribl. tak način:
>
> # iptables -t nat -A PREROUTING -d 101.101.101.101 -j DNAT
> --to-destination 192.168.1.1 (ip notranje mašine),
>
> bo netfilter spremenil _samo_ DST IP in ničesar drugega => SRC IP ostane
> nespremenjen. Se pravi ima IP header sedaj SRC IP 202.202.202.202 in DST
> IP 192.168.1.1 (nič ostalega se ne spremeni).
>
> Tisto, drugo, ko notranji IP dobi request od firewallovega notranjega
> IP-ja, pa je "port forwarding" in ne NAT.
>
> Zakaj ti pa "enkrat prej" ni delovalo, ti pa ne morem reči, ker ne vem
> kakšno situacijo si imel in katere programe si uporabljal.
>
> lp,
> G
>
> Martin pravi:
> > Pozdrav,
> >
> > na kratko povedano mi zdj ni vec nic jasno.
> >
> > Kot razumem dnat gre za prepis tistega dela paketka, kjer je zapisan
> > naslovik/destinacija. OK lepo in prav.
> >
> > Pri meni doma imam malo starejšo namestitev linuxa in ob izvajanju -j
> > DNAT targeta (ja deluje) na mašino v lokalni mreži dobim IP od strežnika
> > na katerem delam DNAT. Se prov spomnim kak problem je bil takrat, da bi
> > namesto IPja z notranje mrežne kartice dobil IP od uporabnika iz
> > interneta (kokr transparent dnat). Pa mi to ni uspelo.
> >
> > Danes nekje drugje postavim 2.4.23rc1+netfilterCVSpaches izvedem DNAT za
> > eno izmed mreznih kartic kjer bom imel streznike na neko lokalno masino
> > za ssh takole:
> > $IPTABLES -t nat -A PREROUTING -p tcp -d 2xx.1xx.2xx.202 --dport 22 -j
> > DNAT --to 10.30.0.2
> > Še prej sem eth0 (interfacu za internet) dodal ip takole:
> > $IP addr add 2xx.1xx.2xx.202/32 broadcast 213.157.225.255 dev $INET
> > zraven k že določenem drugem IPju in drugačnim netmaskom.
> >
> > Anyway DNAT dela a začuda vidim zunanji IP in ne firewallovega.
> > Mislim sej to je super, tko se lahko tudi klienti v lokalni mreži brez
> > dodatnih pravil lepo povežejo na server preko njegovega internetnega IPja
> > (2xx.1xx.2xx.202), samo mene vseeno zanima kaj sem naredil, da DNAT
> > deluje transparentno. Sem vključil kako opcijo v kernelu? Kaka druga
> > fora?
> >
> > Kot vedno vse pripombe, komentarji, etc so dobrodošli.
> >
> > L.P.
> > Martin




More information about the lugos-list mailing list