URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 30053
[ Назад ]

Исходное сообщение
"Простой вопрос по iptables."
Отправлено Camb , 20-Май-03 09:28

Привет!
Исх данные:
Linux 2.4.18
Inet: eth0 1.2.3.4, 1.2.3.5
Lan: eth1 192.168.0.1
во внутренней сети есть web-сервер 192.168.0.15 на который идет DNAT с 1.2.3.5
хочу, чтобы внутренний клиент, например с адреса 192.168.0.155
набрав ping 1.2.3.5 на самом деле пинговал 192.168.0.15 (т.е. перенаправить при пом. iptables)
тоже самое и с TCP:80 - изнутри набирает в броузере (без прокси) http://1.2.3.5 и попадает на 192.168.0.15
вот.
бился, бился - не смог, выручайте, братцы!
----
С уважением, Camb.

Содержание

Простой вопрос по iptables.,Mikhail, 09:44 , 20-Май-03
- Михаил, -j REDIRECT быть может поможет ??,Camb, 09:38 , 21-Май-03
  - Михаил, -j REDIRECT быть может поможет ??,Mikhail, 10:18 , 21-Май-03
Простой вопрос по iptables.,devEv, 21:10 , 23-Май-03

Сообщения в этом обсуждении

"Простой вопрос по iptables."
Отправлено Mikhail , 20-Май-03 09:44

iptables -t nat -A POSTROUTING ..<from_localnet>...<to_1.2.3.5> .. -j SNAT --to-source 192.168.0.1
iptables -t nat -A PREROUTING ..<from_localnet>...<to_1.2.3.5> .. -j DNAT --to-destination 192.168.0.15
#Обманываем и одну, и другую сторону - чтобы возвращать ответные пакеты
Это в теории, т.к. еще роутинг участвовать должен, не могу проверить - не на чем. С чужими (внешними) хостами работает. '-j REDIRECT' тут не поможет - он только с tcp/udp.
Вообще-то, это изврат, imho. То же самое, только удобней, делается с помощью DNS - внутри одна зона, снаружи - другая.

"Михаил, -j REDIRECT быть может поможет ??"
Отправлено Camb , 21-Май-03 09:38

>iptables -t nat -A POSTROUTING ..<from_localnet>...<to_1.2.3.5> .. -j SNAT --to-source 192.168.0.1
>iptables -t nat -A PREROUTING ..<from_localnet>...<to_1.2.3.5> .. -j DNAT --to-destination 192.168.0.15
>#Обманываем и одну, и другую сторону - чтобы возвращать ответные пакеты
>
>Это в теории, т.к. еще роутинг участвовать должен, не могу проверить -
>не на чем. С чужими (внешними) хостами работает. '-j REDIRECT' тут
>не поможет - он только с tcp/udp.
>
>Вообще-то, это изврат, imho. То же самое, только удобней, делается с помощью
>DNS - внутри одна зона, снаружи - другая.
два ДНСа уже подняты (сплит) :)
но вот одному "перцу" мало в броузере набирать домен.ру (который резолвится как внутренний ип) он хочет заходить по внеш. ип :(
То что ты предлагаешь - пробовал не в теории, на практике :) не пашет :(
Михаил, в приципе, icmp фиг с ним.. быть может -j REDIRECT попробвать?
подскажи как :)

"Михаил, -j REDIRECT быть может поможет ??"
Отправлено Mikhail , 21-Май-03 10:18

>То что ты предлагаешь - пробовал не в теории, на практике :) не пашет :(
Как именно? Там, естественно, еще '-j ACCEPT' и т.д.
А для REDIRECT - '-j REDIRECT <куда_надо>'
>Михаил, в приципе, icmp фиг с ним.. быть может -j REDIRECT
>попробвать?
Дык?
>
>подскажи как :)
Ну, как обычно - man iptables :)
http://www.opennet.me/docs/RUS/iptables/
У меня в сети подобная конструкция работает по принципу 'шашечки или ехать?' через dns. А 'перцы' видят 'Access denied'.

"Простой вопрос по iptables."
Отправлено devEv , 23-Май-03 21:10

то, что вы хотите, сделать средствами iptables невозможно,
Mikhail прав, сделайте псевдо зону dns, чтобы вовнутрь отвечал другими IP