[OT] Re: iptables na local
Jak podają anonimowe źródła, przepowiedziano, że PeterMax na Go napisze:
> moglibyście mi pomoc, mam problem taki iz wywolujac polaczenie na
> konkretnym porcie serwera chcialbym aby serwer automatycznie laczyl
> mnie z konkretnym komputerem w sieci lokalnej na dokladnie tym samym
> porcie.
> #wpuszczam
> iptables -A INPUT -p tcp --dport nr_portu -s ip_zrodlowe -m state --state NEW -j ACCEPT
Niepotrzebne, bo pakiet nie przejdzie przez INPUT.
> iptables -t nat -A FORWARD -o eth0 -j SNAT --dport nr_portu -s
> ip_zrodlowe to --ip_doeclowe
ma być (w jednym z krótszych wariantów, warunków mogłoby być więcej):
-t nat -A PREROUTING -p protokół -d IP_BRAMKI --dport PORT -j DNAT --to IP_GDZIESTAM
001. PREROUTING - to się dzieje przed decyzją o routingu, dlatego właśnie
pakiet nie przejdzie przez INPUT
010. DNAT - bo to Destination NAT a nie Source NAT
011. protokół jest potrzebny, bo nie wszystkie mają coś takiego jak "nr
portu"
100. przy przepisywaniach zmieniana jest możliwie mała ilość informacji, stąd
(o ile to możliwe) numer portu na komputerze docelowym zostanie ten sam,
a o to chodzi.
101. może być konieczne umożliwienie przejścia pakietu przez FORWARD
(gdzie wpisane w pakiet masz: SRC=jakiś_ip_na_Świecie
DST=twój_wewnętrzny_ip, więc weź to pod uwagę)
110. SNAT może być potrzebny dodatkowo, jeśli ustawienia routingu są
takie, że pakiet z odpowiedzią wracałby inną drogą (nie przez bramkę)
> tylkoniestety to nie dziala, moze coś zle kombinuje?
zdecydowanie
> Konstruktywna krytyka mile widziana ;)
Literatura:
http://mr0vka.eu.org/tlumaczenia/
man iptables
PS. To pytanie raczej na pl.comp.os.linux.sieci, z Debianem jako takim
ma raczej mało wspólnego...
Pozdrawiam
--
Jacek Kawa **Te ciągłe pochody, okrzyki, wymachiwanie flagami
to po prostu oznaki niewyżycia seksualnego**
Reply to: