Re: lug-bg: DNAT

[Dean Stoeff <dean@xxxxxxxxxxxx>]

Simeon Monov wrote:

> Здравейте,
>
> Имам следният проблем. Имам локална мрежа, която се върти през SNAT 
> към интернет с 1 външно IP. Имам вътрешен компютър с пуснат webserver 
> и с DNAT пренасочвам всички връзки към 80-ти порт към него. Работи си 
> добре но има проблем при достъп от локалната мрежа (т.е. няма достъп 
> от локалната мрежа към външното IP на 80-ти порт). Пуснах tcpdump и 
> въдях, че заявките от локалните компютри към външното IP като минат 
> през DNAT се променят като заяки в локалната мрежа - примерно външното 
> IP ако е 1.2.3.4 и имаме IP на локалния интерфейс на routera 
> 192.168.1.1 и IP на компютъра, където е webservera 192.68.1.2 и IP на 
> клиент от локалната мрежа 192.168.1.5, тогава заявка от 192.168.1.5 
> към 1.2.3.4:80 като мине през DNAT става като заявка от 192.168.1.5 
> към 192.168.1.2:80 и 192.168.1.2 тръгва да отговаря на 192.168.1.5 
> директно по интерфейса и понеже 192.168.1.5 очаква отговор от 1.2.3.4 
> не получава нищо. Успях да направя нещо като в OUTPUT веригата на nat 
> таблицата (след като съм пуснал да може да се прави NAT на локалните 
> връзки в kernela) сложих същия DNAT но се наложи и да добавя SNAT na 
> всички връзки от 192.168.1.0/24 към 192.168.1.2 да си сменят Source IP 
> на 192.168.1.1 - по този начин тръгнаха нещата но ми изглежда много 
> завъртяно и ще съм много благодарен ако някой може да ми предложи друг 
> начин за решаване на проблема.
> Това са ми правилата в nat таблицата с които работи:
>
> Chain PREROUTING (policy ACCEPT)
> target     prot opt source               destination
> DNAT       tcp  --  0.0.0.0/0            1.2.3.4            tcp dpt:80 
> to:192.168.1.2
> Chain POSTROUTING (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all  --  192.168.1.1          0.0.0.0/0
> SNAT       tcp  --  192.168.1.0/24       192.168.1.2        tcp dpt:80 
> to:192.168.1.1
> ACCEPT     all  --  192.168.1.0/24       192.168.1.0/24
> SNAT       all  --  192.168.1.0/24       0.0.0.0/0          to:1.2.3.4
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
> DNAT       tcp  --  0.0.0.0/0            1.2.3.4            tcp dpt:80 
> to:192.168.1.2
> Поздрави,
>   Симеон Монов
> ============================================================================ 
>
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara 
> Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ============================================================================ 
w PREROUTINGA ili polzwaj "-s ! 192.168.1.0/24 " ili "-i WYNSHNIQ interface"

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================