[Debian] Fragen zum Destination NAT von iptables
Hey Folks !
Ich hab mal wieder ein Problem, für welches Ihr mich Spießroute laufen
laßt.
Ich habe bei mir zuhause folgende Konstellation:
TDSL -- Linux-Router -- Firewall (CPFW1) -- DMZ = Server
Der TDSL-Linux-Router ist ein Gibraltar-System (Debian based) welches
nichts anderes zu tun hat, als die ausgehenden Pakete zu maskieren
und ein gehende Pakete zu NATen.
Letzteres ist auf der Firewall nicht so einfach möglich, da die CPFW1 nicht
mit dynamischen Adressen umgehen kann (brauchen wir hier auch nicht drüber
zu diskutieren,
auch möchte ich bitte keine Diskussionen, welche Firewall besser ist, das
tut hier nichts zur Sache !)
Jetzt zum Problem:
Ich will den Zugriff auf Port 80 der dynamischen Adresse auf den DMZ-Server
von extern zulassen. Da intern nur inoffizielle Adressen benutzt werden,
ändere ich die Destination-Adresse schon auf dem Linux-Router mittels
Destination-NAT:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to
10.1.1.1:80
Das funktioniert auch soweit, daß man von außen auf den Webserver kommt.
Aber was ich nicht verstehe ist, daß als Source-Adresse die interne Adresse
des Linux-Routers benutzt wird !
Im Logfile der Firewall und auch im Logfile des Apache kann man eindeutig
erkennen, daß die Source-Adresse des Requests geändert wurde !
Das nützt mir aber überhaupt nichts, da ich gerne a) die Zugriffe auf dem
Apache analysieren möchte und b) einige Rules in der Firewall
auf der Source-Adresse basieren sollen.
Wo könnte mein Fehler liegen ?
Sollten weitere Infos gebraucht werden, write me !
Danke !
--
Frank Rosendahl, DELOS AG, Moerikestrasse 11, D-70178 Stuttgart
Tel: +49-711-620079-0 - Fax: +49-711-620079-79
---------------------------------------------------------------
live long and prosper.
Reply to: