Re: iptables, redirecionamento externo, dúvida

[Allison Vollmann <allisonvoll@yahoo.com.br>]

Em 4/2/2009 10:28, PEdroArthur_JEdi escreveu:
> 2009/2/4 Allison Vollmann<allisonvoll@yahoo.com.br>:
>    
> > Quando o host recebe uma conexão para ele mesmo não vai passar pela tabela
> > de nat, o que eu quero fazer é por exemplo, você manda um pacote icmp por
> > exemplo para o endereço 235.xxx.xxx.xxx e esse transfere para outro endereço
> > 235.xxx.xxx.yyy. Como se fosse um sub-domínio de dns.
> >      
>
> Desde o inicio eu entendi o que você quer fazer. Quando a travessia
> dos pacotes pelas tabelas e chains, veja
> http://di.uern.br/scc08/packettraversal.png . Todo e qualquer pacote
> passa pela tabela NAT.
>
> A dica que lhe passei faz justamente isso que você quer. O pacote
> chega na máquina, ela faz um DNAT e logo em seguida um SNAT, e a
> máquina 235.xxx.xxx.xxx fará o intermédio entre a máquina
> 235.xxx.xxx.yyy e o cliente. Não é a forma mais otimizada, mas é uma
> solução.
>
> Não conheço outra maneira de fazer isso.
>
>    
realmente funciona, mas tem um porém, só da certo se eu souber de quem 
vem a conexão, se for feita através de outro host não tem como 
identificá-lo no SNAT, ao menos que tenha alguma forma dinâmica de se 
fazer isso, pois creio eu que precisa pegar o endereço *source* da 
conexão de entrada em PREROUTING e inserilo como source do pacote em 
POSTROUTING, não sei se o netfilter suporta isso de alguma forma ou 
existe algum modulo a parte, mas com apenas 3 hostd pré-definidos 
aparentemente funciona muito bem.d