Re: nichtforkender TCP-Forwarder (statt socat/rinetd)
Heiko Schlittermann <hs@schlittermann.de> writes:
> Sven Rudolph <Sven_Rudolph@drewag.de> (Mo 29 Okt 2007 09:40:16 CET):
>> für das Forwarden von TCP-Verbindungen nutzen wir momentan
>> hauptsächlich rinetd. Vorteil ist, da� es nicht pro Verbindung einen
>> extra ProzeÃ? braucht (wie z.B. socat); Nachteil ist, daÃ? es nicht mehr
>> als 1024 Verbindungen forwardet.
>>
>> Welche Software ist dafür unter Debian Stand der Technik bzw. womit
>> habt ihr gute Erfahrungen?
>
> Vielleicht steh' ich ja auf dem Schlauch, aber warum reicht nicht, was
> IPTables tut?
>
> iptables -t nat -A PREROUTING -p tcp --dport 1234 --j DNAT --to 1.2.3.4
Ich glaube nicht, daß es in unserer Umgebung das tun würde, was
beabsichtigt ist. Zumindest tut es, soweit ich es verstehe, etwas
völlig anderes als das, was rinetd bzw. socat tun.
Es soll auf Rechnern laufen, die zwischen verschiedenen untereinander
abgeschotteten Netzen bestimmte Dienste weiterleiten. Es gibt also
verschiedene Interfaces, und IP-Forwarding ist aus. Jegliche
Verbindung zu diesem Rechnern wird dort aus TCP/IP-Sicht terminiert
und im Userlevel auf eine ausgehende TCP-Verbindung weitergeleitet.
Es wird also jeglicher Zusammenhang auf TCP/IP-Ebene aufgetrennt,
Absender und Empfänger kennen weder ihre IP-Adressen noch die
einzelnen Zustände der TCP-Verbindung. Da nur das angeboten wird, was
gebraucht wird, müßte man nicht mal IP-Firewalling nutzen.
Es sind also andere Voraussetzungen und andere Ergebnisse, abgesehen
davon macht es schon was ähnliches ;-)
Sven
Reply to: