[ bpredic @ 20.10.2006. 10:12 ] @
|
| Nisam bas neki strucnjak sto se tice Linux umrezavanja, ali prateci uputstva na Internetu napravio sam jednu tipicnu Linux mreznu strukturu. SuSE10.1 masina sluzi kao gateway za izlazak lokalne mreze na Internet. Uspesno sam napravio i par DNAT pravila kojima omogucavam masinama na internoj mrezi da budu dostupne na nekim portovima, Remote Desktop, http, ssh i slicno.
Sada, potrebno mi je nesto drugacije, ukoliko je moguce. Ta SuSE masina je zamenila jednu drugu masinu na kojoj je bio jedan servis koji koristi mnogo korisnika na Internetu nad kojima nemam nikakvu kontrolu. Taj servis je bio na tcp portu 28. Sada na toj IP adresi je moj SuSE gateway, a ta stara masina je pomerena na drugu javnu IP adresu na istom subnetu na kome je i gateway. Da li ja mogu da uradim DNAT paketa koji stizu sa Interneta na port 28 na moju gateway masinu tako da gateway to salje nazad na isti interfejs na tu staru masinu koja takodje ima javnu IP adresu na istom subnetu.
Ne znam koliko sam bio jasan u objasnjenju sta zelim da postignem. Poenta je da ne moram da zovem nekoliko stotina klijenata (cak i ne znam koliko ih ima i koji su) i da im govorim da moraju da promene IP adresu za taj stari servis. Zelim jednostavno da moj SuSE gateway te pakete forwarduje na drugu masinu koja je takodje na internetu, nije na internoj mrezi.
Hvala unapred! |
[ VRider @ 20.10.2006. 15:39 ] @
iptables -t nat -A PREROUTING -i ethX -p tcp -m tcp --dport 28 -j dnat --to-destination 212.212.212.212:28
Umesto ethX stavis svoj interface ka netu. Ako je to to sto tebi treba...
[ bpredic @ 21.10.2006. 12:53 ] @
Ovo mi na zalost iz nekog razloga ne radi. Kako mogu da ukljucim neki nivo debagiranja, da vidim sta se u stvari desava sa paketima? Malo sam Googlao i video da je moguce problem u tome sto kada gateway masina uradi DNAT paketi stignu do novog servera, ali taj novi server obzirom da je direktno vezan na Internet odgovara paketima direktno posiljaocu, a ne preko gateway masine. Onda posiljalac te pakete sa odgovorom ne razume i tu verovatno pukne sema. Sada, probao sam da pored DNAT pravila dodam i SNAT pravilo po nekom uputstvu koje sam nasao na Internetu, ali ni to ne radi. Glavno pitanje, kako da ukljucim neki verbose debug mod i gde da gledam te logove kako bi video sta se u stvari desava?
Pozdrav!
[ VRider @ 21.10.2006. 13:07 ] @
Ako su obe masine pod Linuxom, mnogo je jednostavnije da napravis ssh tunel.
Pogledaj man stranicu za ssh, opcija -L.
-L [bind_address:]port:host:hostport
Za iptables treba koristiti jump na LOG, i onda se sve to prijavljuje syslogu, pa mozes tamo da preusmeris u neki fajl i gledas.
[ bpredic @ 21.10.2006. 13:33 ] @
Na zalost nisu obe masine pod Linuxom. Meni najvise smeta sto ne znam kako da ukljucim neki debug nivo da bih video zasto ne radi kada vec ne radi.
[ VRider @ 21.10.2006. 15:24 ] @
Debug cega? Za iptables pratis dmesg ako ima problema. Ako hoces da pratis neke pakete stavis "-j LOG" opciju. To ces onda imati su syslog-u (to sam ti vec napisao). Na toj drugoj masini mozes da pratis sa netstat da li ima pokusaja za uspostavljanje nove konekcije. Mozes i da koristis tcpdump ili wireshark da pratis sve sta se desava.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.