Re: problem z NAT

To: debian-user-polish@lists.debian.org
Subject: Re: problem z NAT
From: Mariusz Kruk <Mariusz.Kruk@epsilon.eu.org>
Date: Wed, 1 Sep 2010 12:49:37 +0200
Message-id: <201009011249.37263.Mariusz.Kruk@epsilon.eu.org>
In-reply-to: <AANLkTiknGUU+39v4PCNOVay4W4g3mm6LkM6xpwTT-3tW@mail.gmail.com>
References: <20100831131704.M64248@unet.com.pl> <AANLkTikq3TB6ZNFumqYwVKaPugRdTcs9zNUEPZwBeSsQ@mail.gmail.com> <AANLkTiknGUU+39v4PCNOVay4W4g3mm6LkM6xpwTT-3tW@mail.gmail.com>

On Wednesday, 1 of September 2010, Mariusz Sielicki wrote:
> 1. Maskujesz tylko pakiety, ktore fizycznie opuszczaja interfejs
> zewnetrzny. 2. DNAT do serwera www dla pakietow wpadajacych z zewnatrz na
> adres ip zewnetrzny
> 3. DNAT do serwera www dla pakietow kierowanych na ip zewnetrzne ale
> przychodzace na interfejs wewnetrzny.

Moment. WWW jest na ip wewnętrznym w tej samej sieci, co cała sieć maskowana? 
(tak ogólnie to nienajlepszy pomysł; tak na marginesie).
Można to rozwiązać na parę różnych sposobów zapewne.
W każdym razie, DNAT ipzew->ipwew na samym początku PREROUTING musi działać. 
Problem może natomiast być taki, że serwer dostanie połączenie z IP 
wewnętrznego i będzie usiłował odpowiedzieć nie przez router, ale bezpośrednio 
do sieci, a komputer wysyłający zapytanie przecież nie spodziewa się 
odpowiedzi z ipwew, ale z ipzew.
SNAT-owanie wszystkiego wychodzącego z adresem źródłowym z sieci wewnętrznej 
(niezależnie od interfejsu) powinno załatwić sprawę.
Przynajmniej tak mi się na szybko wydaje.

> >> wychodzące z interfejsu zewnętrznego a nie tylko te, które posiadają
> >> adres prywatny) to w logach serwera www będą widoczne żądania również
> >> z adresów prywatnych.
> > serwer www dostaje request np z adresu ("zawróconego" przez NAT na
> > PREROUTINGU) 217.23.21.22 a w logu widzi np 192.168.2.10 ?
> nie wiem czy dobrze rozumiem pytanie a rozumiem je tak:
> 1. 217.23.21.22 - to adres publiczny na ktorym stoi www (zwracany przez
> dns) 2. pakiet wychodzi z sieci lan do routera (src: 192.168.2.10, dest:
> 217.23.21.22)
> 3. router przed zroutowaniem zmienia dest na adres lokalny serwera www
> np. 192.168.2.100
> 3. jezeli pakiet ma teraz dest lokalny to router odsyla go do sieci
> lokalnej. 4. jezeli nie nastapilo maskowanie adresu src pakietu to src
> caly czas zostaje 192.168.2.10
> 5. wiec dlaczego serwer www mialby nie widziec polaczenia
> przychodzacego z 192.168.2.10 ?

Patrz wyżej - pakiety "powrotne" mają inne adresy niż pakiety "początkowe".

Uwaga ogólna - trzeba pamiętać, że pakiety lecą w obie strony.
-- 
/\-\/\-\/\-\/\-\/\-\/\-\/\ 
\  Kruk@epsilon.eu.org   / 
/ http://epsilon.eu.org/ \ 
\/-/\/-/\/-/\/-/\/-/\/-/\/

Reply to:

Follow-Ups:
- Re: problem z NAT
  - From: Wojciech Ziniewicz <wojciech.ziniewicz@gmail.com>

References:
- Re: problem z NAT
  - From: Wojciech Ziniewicz <wojciech.ziniewicz@gmail.com>
- Re: problem z NAT
  - From: Mariusz Sielicki <mariusz.sielicki@gmail.com>

Prev by Date: Re: problem z NAT
Next by Date: Re: problem z NAT
Previous by thread: Re: problem z NAT
Next by thread: Re: problem z NAT
Index(es):
- Date
- Thread