[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Compaq Proliant 5500 oraz keirowanie ruchu

Dnia śro 10. grudnia 2003 10:19, Piotr Marzewski napisał:
> W liście z śro, 10-12-2003, godz. 00:54, Robert Skup pisze:
>     Więc chciałbym aby inni odwołujący się do mojego IP na odpowiedni
>     port byli forwardowani na ten zewnętrzny komputer. Czyli pakiety
>     muszą wejść eth0 i wyjść na eth0 i w dodatku na IP w tej samej
>     podsieci.
> Ja mam zrobione tak, że na serwerze ustawiłem SNAT zmieniający adres
> źródła zapytania na adres serwera. W ten sposób odpowiedź wraca najpierw
> na serwer i dopiero później do klienta. Wygląda to tak
>
> iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j SNAT --to
>  $IPSERWER

A czy nie powinno być SNAT + DNAT?

Wyglądałoby to tak:
A wysyła pakiet do B
B robi DNAT i pakiet jest zaadresowany A -> C
B robi SNAT i pakiet jest zaadresowany B -> C
C otrzymuje pytanie
C odpowiada -> B (bo pakiet był zaadresowany od B)
B otrzymuje pakiet
B jako że zrobił na tym porcie SNAT to przeadresowuje na C -> A
B jako, że zrobił DNAT to przeadresowuje na B -> A
A otrzymuje pakiet B->A i takiego się spodziewa bo wysłał A->B

a jak to zapisać w iptables to w manie pisują dosyć wyraźnie (a ja nie 
pamiętam dokładnie postaci tych opcji ;) )

-- 
Pozdrawiam
Romek Kalukiewicz
Reply to: