Re: problem z NAT
On Wednesday, 1 of September 2010, Mariusz Sielicki wrote:
> 1. Maskujesz tylko pakiety, ktore fizycznie opuszczaja interfejs
> zewnetrzny. 2. DNAT do serwera www dla pakietow wpadajacych z zewnatrz na
> adres ip zewnetrzny
> 3. DNAT do serwera www dla pakietow kierowanych na ip zewnetrzne ale
> przychodzace na interfejs wewnetrzny.
Moment. WWW jest na ip wewnętrznym w tej samej sieci, co cała sieć maskowana?
(tak ogólnie to nienajlepszy pomysł; tak na marginesie).
Można to rozwiązać na parę różnych sposobów zapewne.
W każdym razie, DNAT ipzew->ipwew na samym początku PREROUTING musi działać.
Problem może natomiast być taki, że serwer dostanie połączenie z IP
wewnętrznego i będzie usiłował odpowiedzieć nie przez router, ale bezpośrednio
do sieci, a komputer wysyłający zapytanie przecież nie spodziewa się
odpowiedzi z ipwew, ale z ipzew.
SNAT-owanie wszystkiego wychodzącego z adresem źródłowym z sieci wewnętrznej
(niezależnie od interfejsu) powinno załatwić sprawę.
Przynajmniej tak mi się na szybko wydaje.
> >> wychodzące z interfejsu zewnętrznego a nie tylko te, które posiadają
> >> adres prywatny) to w logach serwera www będą widoczne żądania również
> >> z adresów prywatnych.
> > serwer www dostaje request np z adresu ("zawróconego" przez NAT na
> > PREROUTINGU) 217.23.21.22 a w logu widzi np 192.168.2.10 ?
> nie wiem czy dobrze rozumiem pytanie a rozumiem je tak:
> 1. 217.23.21.22 - to adres publiczny na ktorym stoi www (zwracany przez
> dns) 2. pakiet wychodzi z sieci lan do routera (src: 192.168.2.10, dest:
> 217.23.21.22)
> 3. router przed zroutowaniem zmienia dest na adres lokalny serwera www
> np. 192.168.2.100
> 3. jezeli pakiet ma teraz dest lokalny to router odsyla go do sieci
> lokalnej. 4. jezeli nie nastapilo maskowanie adresu src pakietu to src
> caly czas zostaje 192.168.2.10
> 5. wiec dlaczego serwer www mialby nie widziec polaczenia
> przychodzacego z 192.168.2.10 ?
Patrz wyżej - pakiety "powrotne" mają inne adresy niż pakiety "początkowe".
Uwaga ogólna - trzeba pamiętać, że pakiety lecą w obie strony.
--
/\-\/\-\/\-\/\-\/\-\/\-\/\
\ Kruk@epsilon.eu.org /
/ http://epsilon.eu.org/ \
\/-/\/-/\/-/\/-/\/-/\/-/\/
Reply to: