iptables

[rax666]

chce przekierowac ruch przychodzace na port tcp:80 z inferface -byle jaki- na ip 1.2.3.4 port tcp:80 przez iface -byle jaki-.

jak to zrobic?

[TQM]

o ile pamietam modul 'route'

[rax666]

a iptables nie?
do czego wogule to jest?


moze zle zadalem pytanie:

lacze sie na 0.0.0.1:80, i chce zeby ta maszyna sie polaczyla z 0.0.0.2:80 i dzialala jako tunel.

[TQM]

halooo... a slyszales kiedys o modulach do iptables? czas na rtfm
jesli nie 'route' to sa inne moduly, wiem ze ktorys wlasnie to robi

[rax666]

aha ktoryms.
sam w c tez sobie potrafie to napisac, ale nie w tym rzecz.

no dzieki, znow przekonalem sie ze jesli chodzi o linuxa to jest zajebiscie duzo info na ten temat i jeszcze wiecej znawcow.

[lojciecdyrektor]

Chodzi Ci o coś takiego?

Kod:

iptables -t nat -A PREROUTING -i eth0 -d 0.0.0.1 -p tcp --dport 80 
-j DNAT --to-destination 0.0.0.2:80
iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.2 -p tcp --sport 80
-j SNAT --to-source 0.0.0.1

pozdrawiam

[TQM]

@lojciecdyrektor - dokladnie, dziala swietnie i to o wiele prosciej niz to co ja podrzucilem... ale niestety to modyfikuje naglowki - jesli modyfikacja naglowkow jest OK to rax666 masz gotowe rozwiazanie

@rax666 jak potrafisz sobie w C napisac to napisz i "nie truj dupy" jak to sie mowi :-)

off-topic
Jest modul do iptables ktory pozwala zmienic trase pakietu bez modyfikowania naglowkow ale rax666 jest zbyt leniwy aby zobaczyc na netfilter.org co jeszcze tam jest i czeka na gotowca. Ja nie encyklopedia, nie uzywalem tego od paru lat, nie pamietam dokladnie - odsylam do rtfm to ma pretensje. Powstrzymam sie od dalszego komentowania takiego zachowania.

[rax666]

Kod:

iptables -t nat -A PREROUTING -i + -d 127.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8080
iptables -t nat -A POSTROUTING -o + -s 127.0.0.1 -p tcp --sport 80 -j SNAT --to-source 127.0.0.1

po wykonaniu polecen nic sie nie wystietla.
jak sprawdzic czy zostaly dodane do lancucha?
--list zwraca nic.

nie dziala.
stawiam nc na port 80, lacze sie na 8080 - refused.


ale czy pre/post routing ma sie jakos do pakietow generowanych local?
nie jestem expertem jak TQM, ale wydaje mi sie ze jest tabela output do tego.

sprawdze ejszcze laczac sie z zewnatrz, moze bedzie dzialac.

ale ja chce by zawsze dzialalo.

[lojciecdyrektor]

Kod:

iptables -t nat -A PREROUTING -i + -d 127.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8080
iptables -t nat -A POSTROUTING -o + -s 127.0.0.1 -p tcp --sport 80 -j SNAT --to-source 127.0.0.1

co to jest ten "+"

po wykonaniu polecen nic sie nie wystietla.
jak sprawdzic czy zostaly dodane do lancucha?
--list zwraca nic.

Kod:

iptables -L

w konsoli...

Jeśli nie listuje tego co wklepałeś to zapewne zrestartowałeś kompa, a to wystarczy do zresetowania ustawień iptables...

Najlepiej zapisać to w postaci skryptu bash'a i dodać do init.d i dowiązania, żeby startowało z systemem...

ale czy pre/post routing ma sie jakos do pakietow generowanych local?
nie jestem expertem jak TQM, ale wydaje mi sie ze jest tabela output do tego.

A blokowałeś ruch lokalny

sprawdze ejszcze laczac sie z zewnatrz, moze bedzie dzialac.

ale ja chce by zawsze dzialalo.

To zamiast 127.0.0.1 wpisz 0.0.0.0/0 - to oznacza dowolny adres,a najwyżej później odfiltruj chłam dodatkową regułą...to oczywiście do pakietów przychodzących..usługę masz na stałym ip...

pozdrawiam

[rax666]

co to jest ten "+"

network interface name ([+] for wildcard)
tak naprawde i czy o nie jest potrzebne.

Jeśli nie listuje tego co wklepałeś to zapewne zrestartowałeś kompa,

masz mnie za idiote?
no ***** mac, chyba jasne ze NIE RESTARTOWALEM KOMPA!
jaki bylby w tym cel? ZADEN! NO WLASNIE!


poczytalem manual, i cos sie dowiedzialem.

sa w chainy, input, output i forward.
kazdy z nich przechodzi przez tablice nat/mangle/raw/filter.
moge dodac -A swoj wlasny regul.

zeby forwardowac pakiet - na logike, prerouting.
***** co?
dlaczego nie dziala bez -t nat?
ok zle czytalem

sa 4 tabels, i one zawieraja chainy.
-t table table to manipulate (default: `filter')
zgadza sie.
a juz szykowalem metafore jak by nie napisali default table.
a wiec

iptables -L -t nat dziala.
i co? w minute doszedlem do tego czego wy nie wiecie, pfff.

iptables -t nat -A OUTPUT --protocol tcp --destination-port 80 -j DNAT --to-destination 77.88.99.00:1337
dziala przekierowuje jak nalezy.

po raz kolejny udowodniscie jacy z was specjalisci.
useless.