Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

DNAT na isti interfejs

[es] :: Linux mreže :: DNAT na isti interfejs

[ Pregleda: 1900 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

bpredic
Bratislav Predic
Nis

Član broj: 1957
Poruke: 71
*.elfak.ni.ac.yu.



Profil

icon DNAT na isti interfejs20.10.2006. u 10:12 - pre 212 meseci
Nisam bas neki strucnjak sto se tice Linux umrezavanja, ali prateci uputstva na Internetu napravio sam jednu tipicnu Linux mreznu strukturu. SuSE10.1 masina sluzi kao gateway za izlazak lokalne mreze na Internet. Uspesno sam napravio i par DNAT pravila kojima omogucavam masinama na internoj mrezi da budu dostupne na nekim portovima, Remote Desktop, http, ssh i slicno.

Sada, potrebno mi je nesto drugacije, ukoliko je moguce. Ta SuSE masina je zamenila jednu drugu masinu na kojoj je bio jedan servis koji koristi mnogo korisnika na Internetu nad kojima nemam nikakvu kontrolu. Taj servis je bio na tcp portu 28. Sada na toj IP adresi je moj SuSE gateway, a ta stara masina je pomerena na drugu javnu IP adresu na istom subnetu na kome je i gateway. Da li ja mogu da uradim DNAT paketa koji stizu sa Interneta na port 28 na moju gateway masinu tako da gateway to salje nazad na isti interfejs na tu staru masinu koja takodje ima javnu IP adresu na istom subnetu.

Ne znam koliko sam bio jasan u objasnjenju sta zelim da postignem. Poenta je da ne moram da zovem nekoliko stotina klijenata (cak i ne znam koliko ih ima i koji su) i da im govorim da moraju da promene IP adresu za taj stari servis. Zelim jednostavno da moj SuSE gateway te pakete forwarduje na drugu masinu koja je takodje na internetu, nije na internoj mrezi.

Hvala unapred!
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: DNAT na isti interfejs20.10.2006. u 15:39 - pre 212 meseci
iptables -t nat -A PREROUTING -i ethX -p tcp -m tcp --dport 28 -j dnat --to-destination 212.212.212.212:28


Umesto ethX stavis svoj interface ka netu. Ako je to to sto tebi treba...

JaFreelancer.com
 
Odgovor na temu

bpredic
Bratislav Predic
Nis

Član broj: 1957
Poruke: 71
*.elfak.ni.ac.yu.



Profil

icon Re: DNAT na isti interfejs21.10.2006. u 12:53 - pre 212 meseci
Ovo mi na zalost iz nekog razloga ne radi. Kako mogu da ukljucim neki nivo debagiranja, da vidim sta se u stvari desava sa paketima? Malo sam Googlao i video da je moguce problem u tome sto kada gateway masina uradi DNAT paketi stignu do novog servera, ali taj novi server obzirom da je direktno vezan na Internet odgovara paketima direktno posiljaocu, a ne preko gateway masine. Onda posiljalac te pakete sa odgovorom ne razume i tu verovatno pukne sema. Sada, probao sam da pored DNAT pravila dodam i SNAT pravilo po nekom uputstvu koje sam nasao na Internetu, ali ni to ne radi. Glavno pitanje, kako da ukljucim neki verbose debug mod i gde da gledam te logove kako bi video sta se u stvari desava?

Pozdrav!
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: DNAT na isti interfejs21.10.2006. u 13:07 - pre 212 meseci
Ako su obe masine pod Linuxom, mnogo je jednostavnije da napravis ssh tunel.
Pogledaj man stranicu za ssh, opcija -L.
-L [bind_address:]port:host:hostport

Za iptables treba koristiti jump na LOG, i onda se sve to prijavljuje syslogu, pa mozes tamo da preusmeris u neki fajl i gledas.
JaFreelancer.com
 
Odgovor na temu

bpredic
Bratislav Predic
Nis

Član broj: 1957
Poruke: 71
*.elfak.ni.ac.yu.



Profil

icon Re: DNAT na isti interfejs21.10.2006. u 13:33 - pre 212 meseci
Na zalost nisu obe masine pod Linuxom. Meni najvise smeta sto ne znam kako da ukljucim neki debug nivo da bih video zasto ne radi kada vec ne radi.
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: DNAT na isti interfejs21.10.2006. u 15:24 - pre 212 meseci
Debug cega? Za iptables pratis dmesg ako ima problema. Ako hoces da pratis neke pakete stavis "-j LOG" opciju. To ces onda imati su syslog-u (to sam ti vec napisao). Na toj drugoj masini mozes da pratis sa netstat da li ima pokusaja za uspostavljanje nove konekcije. Mozes i da koristis tcpdump ili wireshark da pratis sve sta se desava.
JaFreelancer.com
 
Odgovor na temu

[es] :: Linux mreže :: DNAT na isti interfejs

[ Pregleda: 1900 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.