Re: problem z NAT
> 1. Maskujesz tylko pakiety, ktore fizycznie opuszczaja interfejs
> zewnetrzny.
> 2. DNAT do serwera www dla pakietow wpadajacych z zewnatrz na adres ip
> zewnetrzny
> 3. DNAT do serwera www dla pakietow kierowanych na ip zewnetrzne ale
> przychodzace na interfejs wewnetrzny.
>
> Takie rozwiazanie mialem w poprzedniej firmie tylko nie dla www a dla
> pptp. Dostepu do konfiguracji niestety nie posiadam. Postaram sie
> przyklad odtworzyc dzis wieczorem.
Witam,
Cieszę się że wywiązała się fajna dyskusja, bardzo dziękuję wszystkim za
zaangażowanie - sorry że nie odpisuję szybko ale mam więcej pracy jeżdżonej
niż siedzonej :)
A teraz proszę zweryfikujcie
> 1. Maskujesz tylko pakiety, ktore fizycznie opuszczaja interfejs
> zewnetrzny.
Czyli:
$IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j SNAT --to-source $EXT_IP
-----------------------
> 2. DNAT do serwera www dla pakietow wpadajacych z zewnatrz na adres ip
> zewnetrzny
Czyli:
$IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF -d $EXT_IP --dport 80 -j DNAT
--to-destination 10.0.0.4:80
----------------------
> 3. DNAT do serwera www dla pakietow kierowanych na ip zewnetrzne ale
> przychodzace na interfejs wewnetrzny.
Czyli:
$IPTABLES -t nat -A PREROUTING -p tcp -i $INT_IF -d $EXT_IP --dport 80 -j DNAT
--to-destination 10.0.0.4:80
-----------------------
No i żeby nie było, że tu jest problem to dla porządku:
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
Taki setup przetestowałem i z zewnątrz nie ma problemu, ale z wewnątrz jak był
tak jest, poprawcie mnie jeśli gdzieś się pomyliłem
Pozdrawiam
Maciej Kóska
Reply to: