niebieski-luk
Dołączył: 27 Lut 2014 Posty: 1
|
Wysłany: 27 Luty 2014, 21:13 Iptables i jego czary mary...
|
|
|
Witam,
Mam prośbę o wyjaśnienie regułek.
Powiedzmy że mam lan 192.168.1.0/24
Adres publiczny 1.2.3.4
router: eth0 - 192.168.1.1, eth1 - 1.2.3.4
Ruterek pełni role nat'a wszystko sobie śmiga.
Do sieci lan dodaję serwer www. - 192.168.1.10
Aby świat widział moje www dodaje przekierowanie na ruterku:
Kod: | iptables -t nat -A PREROUTING -p tcp --dport 80 -d 1.2.3.4 -j DNAT --to-destination 192.168.1.10:80
|
Ok ta reguła w miarę zrozumiała, co przyjdzie na porcie 1.2.3.4:80 zostanie skierowane na 192.168.1.10:80. Tylko że ta sama regułka nie działa. Dlaczego?
Zadziała jak dodam
Kod: | iptables -A FORWARD -p tcp -d 192.168.1.10 --dport 80 -j ACCEPT |
Troszke masło maślane (wcześniej już przecież było info że ma lecieć na --to-destination 192.168.1.10:80) a tu jakby powtórzenie, ale ok.
Teraz już działa. Ludziki z Internetu wpisując 1.2.3.4:80 widzą moją stronkę - fajnie.
Ale przychodzi do mnie ciocia Stasia, włącza laptopa do lanu, dostaje adres np 192.168.1.50, wpisuje w przeglądarce 1.2.3.4:80 i stronki nie widzi.
Dlaczego?
Jak wygląda w takiej sytuacji droga pakietu z jej kompa którego celem jest 1.2.3.4:80?
Przez jakie łańcuchy przechodzi i gdzie ginie?
Zadziała jak dodam
Kod: | iptables -t nat -A POSTROUTING -j MASQUERADE |
Stawiam, że ma to związek z drogą powrotną pakietu. Byłbym wdzięczny jakby ktoś opisał jak biegnie taki pakiet w powyższym przypadku i co mu daje każda regułka w iptables, oraz sprawdzenie czy na pewno tak to powinienem rozwiązać czy może korzystać z takich zaklęć jak: --jump DNAT --to-destination, --jump SNAT --to-source, -j REDIRECT?
Dzięki,
Luk |
|