Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 12

Temat: Inna konfiguracja IPTABLES

  1. #1
    Zarejestrowany
    Jul 2011
    Postów
    5

    Domyślnie Inna konfiguracja IPTABLES

    Witam szanownych forumowiczów. Potrzebuję rady odnośnie konfiguracji iptables. Czy taka konfiguracja jest możliwa do zrobienia przez iptables. W sieci mam komputer przemysłowy z kernel 2.4. Konfiguracja sieci wygląda następująco:

    net.JPG

    Generalnie niebieskie elementy są moje a zielone klienta. Nie mam możliwości modyfikacji konfiguracji elementów klienta. Konfiguracja iptables dotyczy elementu oznaczonego jako LINUX. Na serwerze klienta działa usługa na porcie 80.

    Przekierowanie portów miało by działać w sposób następujący:
    *) przekierowanie portu z 10.0.5.2:80 do serwera 192.168.1.100:80
    *) podmiana adresu źródłowego żądania na lokalny adres LINUX (192.168.1.99)

    Czyli komunikacja miała by działać następująco:
    1) PC otwiera port 80 na LINUX (10.0.5.2)
    2) LINUX przekierowuje żądanie do 192.168.1.100 ale podmienia adres źródłowy na 192.168.1.99
    3) Odpowiedź z SERWER trafia do LINUX
    4) pakiet jest wysyłany do PC z podmianą adresu źródłowego na 10.0.5.2

    Czyli generalnie nie działa to jak zwykły NAT. Czy można taki wytrych zorganizować na IPTABLES ?

    Z góry dziękuję na odpowiedź
    Pozdrawiam, Paweł

  2. #2
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Po co chcesz tak ustawić? Nie robiłem takiego myku ale może dało by się za pomocą MANGLE i markowania pakietów.
    ***********
    * markossx *
    ***********

  3. #3
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Albo czegoś nie rozumiem, albo chodzi Ci o zwykły SNAT...

    Chyba niepotrzebnie kombinujesz z tymi portami w opisie...

    Pozdrawiam

  4. #4
    Zarejestrowany
    Jul 2011
    Postów
    5

    Domyślnie

    Chodzi o to że nie mam wpływu na konfigurację SERWERA i ROUTERA. Serwer ma ustawioną bramę na ROUTER i jeżeli będzie zwykły NAT to pakiety z adresów 10.0.X.X trafia do ROUTERA. Dlatego musi zostać podmieniony adres źródłowy na adres z lokalnej sieci 192.168.1.X

  5. #5
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Cytat Napisał bobek Zobacz post
    Chodzi o to że nie mam wpływu na konfigurację SERWERA i ROUTERA. Serwer ma ustawioną bramę na ROUTER i jeżeli będzie zwykły NAT to pakiety z adresów 10.0.X.X trafia do ROUTERA. Dlatego musi zostać podmieniony adres źródłowy na adres z lokalnej sieci 192.168.1.X
    Dlaczego trafia do routera? O czym ty mówisz? Przecież Twój klamot czyli niebieski LINUX jest w tej samej podsieci co ROUTER i SERVER.... Więc LINUX ma łączność z SERVER'em, więc zwykły SNAT załatwia sprawę. Komunikacja z komp. SERVER odbywa się poprzez zewnętrzny interfejs komp. LINUX (192.168.1.99), a ten dokonując SNAT podmienia adres na 10.0.X.X i z powrotem...

    Proszę mnie wyprowadzić z błędu jeśli czegoś nie zrozumiałem...

  6. #6
    Zarejestrowany
    Jul 2011
    Postów
    5

    Domyślnie

    Cytat Napisał lojciecdyrektor Zobacz post
    Dlaczego trafia do routera? O czym ty mówisz? Przecież Twój klamot czyli niebieski LINUX jest w tej samej podsieci co ROUTER i SERVER.... Więc LINUX ma łączność z SERVER'em, więc zwykły SNAT załatwia sprawę. Komunikacja z komp. SERVER odbywa się poprzez zewnętrzny interfejs komp. LINUX (192.168.1.99), a ten dokonując SNAT podmienia adres na 10.0.X.X i z powrotem...

    Proszę mnie wyprowadzić z błędu jeśli czegoś nie zrozumiałem...
    Tam, masz rację. Chodziło mi o to że w klasycznym NAT żądanie skierowane z PC po przejściu przez NAT na LINUX dotrze do SERWER z adresem 10.0.11.1 a ten odeśle odpowiedź do 192.168.1.1. Dlatego właśnie iptables powinien podmienić adres źródła na 192.168.1.99. Próbuję napisać taką regółę na SNAT ale ugrzązłem.
    generalnie robię to tak:

    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.1.100 (zmieniam adres destination)
    iptables -t nat -A POSTROUTING -p tcp -o eth1 --dport 80 -j SNAT --to-source 192.168.1.99 (zmieniam adres source)

    problem mam z filtrem. pierwsza reguła zwiększa liczniki więc się wykonuje ale druga już nie. próbowałem sie dopisać w FORWARD ale nawet:
    iptables -A FORWARD -p tcp --dport 80 -j LOG
    nie zwiększa liczników. Niewiem.

  7. #7
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Cytat Napisał bobek Zobacz post
    Tam, masz rację. Chodziło mi o to że w klasycznym NAT żądanie skierowane z PC po przejściu przez NAT na LINUX dotrze do SERWER z adresem 10.0.11.1 a ten odeśle odpowiedź do 192.168.1.1. Dlatego właśnie iptables powinien podmienić adres źródła na 192.168.1.99..
    Bzdura! Dotrze z adresem źródłowym zewnętrznego interfejsu komp. Linux! Czyli 192.168.1.99!!! I na odwrót!!! Dobrze to przemyśl! Serwer bedzie myślał, że "gada" bezpośrednio z komp. Linux!

  8. #8
    Zarejestrowany
    Jul 2011
    Postów
    5

    Domyślnie

    Cytat Napisał lojciecdyrektor Zobacz post
    Bzdura! Dotrze z adresem źródłowym zewnętrznego interfejsu komp. Linux! Czyli 192.168.1.99!!! I na odwrót!!! Dobrze to przemyśl! Serwer bedzie myślał, że "gada" bezpośrednio z komp. Linux!
    I o to generalnie mi chodzi żeby tak myślał. Że połączenie jest z LINUX a nie z poza sieci. Żeby połączenie było z poza sieci to SERWER musiałby wiedzieć gzie jest siec 10.0.X.X a nie wie i nie mogę tego mu skonfigurować.

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ... albo odpowiedz nie wroci tylko wyjdzie z drugiej maszyny na brame i prosto do netu. A moze zwyczajnie SNAT zamienic dobrymi wpisami w tablicy routingu i dac FORWARD na ALLOW?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Cytat Napisał TQM Zobacz post
    ... albo odpowiedz nie wroci tylko wyjdzie z drugiej maszyny na brame i prosto do netu. A moze zwyczajnie SNAT zamienic dobrymi wpisami w tablicy routingu i dac FORWARD na ALLOW?
    Ale przecież odpowiedź będzie miała adres docelowy komp. Linux - tak przecież działa SNAT, więc jakim cudem ma iść na bramę?

    Pakiet, który wyjdzie z komp z adresem 10.0.x.x przechodząc przez komputer Linux zmieni adres żródłowy na adres 192.168.1.99, więc Serwer na ten adres odpowie, a komp. Linux znowu zamieni ten adres na 10.0.x.x.....

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52