[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: problem z NAT



W dniu 1 września 2010 09:50 użytkownik Mariusz Sielicki
<mariusz.sielicki@gmail.com> napisał:
>> > Router jest na debianie. Skryptami iptables robię nat i firewall.
[...]

Witam,

możesz rozwiązać ten stary jak świat w następujący sposób :

Zmusić (np. przez DHCP) swoich LANowiczów ,żeby korzystali z twojego
serwera DNS .
Następnie na serwerze definiujesz widok (view) który hostom
dobijającym się z LANu będzie tłumaczył nazwe twojej domeny na adres
LANowy  - stosunkowo mało inwazyjne i proste do wykonania.

Dodam ,że nie ma takiej możliwości ,żeby iptablesami zmusić pakiety
przechodzące przez router z LANu żeby zawracały przez DNAT do tego
LANu. Jeśli chcesz dostać sie na serwer na który jest DNAT przez
router na którym ten DNAT jest skonfigurowany ,z wewnątrz sieci ,
musisz odwołać sie do niego po IP lokalnym - nie ma innej opcji .

Wiem ,że cisco wynalazło jakiś sposób ,żeby to obejść w swoich
routerach, ale to jest w ogole osobna funkcja poza wszelkimi RFC i za
pomocą iptablesów da się to zrealizować bodajże za pomocą jakiś tuneli
ipip .

Cała sprawa rozbija się o conntrack - myśle ,że można byłoby go
oszukać dodatkowym SNATem wewnątrz sieci. Tzn sprawić ,żeby wszystko
co przechodzi z sieci lokalnej 192.168.0.0 do routera i miało
destination ip serwera LAN  , było SNATowane na jakiś adres np.
10.0.0.10 - dzięki temu serwer lokalny wiedziałby ,że "gada" z
routerem zamiast z adresem IP ze swojego lanu.


Zaznaczam ,że stan mojej wiedzy o tym pochodzi z czasu kiedy były
iptables 1.2.7 więc fix me if I'm wrong.


pozdrawiam
WZ

-- 
Wojciech Ziniewicz
http://www.rfc-editor.org/rfc/rfc2324.txt


Reply to: