Hallo Stefan,
ich bin mir nicht sicher, ob ich alles korrekt verstanden habe…
Stefan Baur <newsgroups.mail2@stefanbaur.de> (Di 19 Nov 2013 19:53:16 CET):
…
> Die Daten lassen sich aber relativ gut komprimieren - nur leider
> nicht mit der im zur WAN-Strecke gehörenden VPN-Router eingebauten
> Komprimierungsfunktion. Aber selbst GZIP wirkt schon Wunder.
>
> Momentan löse ich das so, dass ich daher auf einem anderen Computer
> unter einer anderen IP-Adresse im Netz der Absender-IP auf dem
> gleichen Port einen Dienst betreibe, der die Daten entgegennimmt,
> komprimiert, und dann zu einem weiteren Computer, diesmal im
> Zielnetz am anderen Ende der WAN-Verbindung, überträgt. Dort werden
> die Daten dann wieder ausgepackt und an den Zielrechner übertragen.
> Dem Absendersystem sage ich einfach, dass das Zielsystem die IP
> hätte, auf der mein Komprimierer läuft.
Du kannst also nicht den Zielport modifizieren? Dann kannst Du auf dem
Kompressions-Rechner aber sehr viele Adressen haben. Dein
Kompressions-Script kann die Adresse, unter der er kontaktiert wurde,
abfragen. Daraus kann er dann ableiten, zu welchem Zielsystem er sich
verbinden muss. Das hat erstmal nichts mit iptables zu tun.
Wenn Du auf dem WAN-Router iptables hast, kannst Du das natürlich auch
dort lösen, mit dem REDIRECT-Target auf spezifische Ports, je nach
Adresse, oder auf per DNAT zum Kompressor. Dann musst Du auf dem
Absender nichts beeinflussen.
> Das klappt so lange, wie es nur ein Zielsystem gibt und man die IP
> daher hart ins Entpackskript eincodieren kann.
Du meinst sicher das Einpack-Script, oder?
> Geht es auch irgendwie eleganter, so dass das auch für n>1
…
> Wenn es per iptables/ebtables geht, sind die zwei zentralen Fragen wohl:
> 1) Wie greife ich das Paket ab und leite es an mein
> Komprimierungsskript weiter?
> 2) Wie komme ich an die Ziel-IP, die der Absender eigentlich
> erreichen wollte, so dass ich sie ebenfalls an das Skript übergeben
> kann?
Wie oben beschrieben, indirekt über ein Ziel-IP >Port-Mapping, oder
Ziel-IP->lokale-IP Mapping.
Oder iptables mit TPROXY-Target kann Dein Freund werden. Gemeinsam mit
dem redir-Paket.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: 7CBF764A -
gnupg fingerprint: 9288 F17D BBF9 9625 5ABC 285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B)-
Attachment:
signature.asc
Description: Digital signature