iptables DNAT

Debian GNU/Linux

iptables DNAT

  • 974 megtekintés

( kkkkkk | 2005. 04. 14., cs – 11:35 )

Sziasztok!

Egy tűzfal mögötti y gép csatlakozni szeretne egy x gép 25 ös portjára. Ezt szeretném átirányítani y gép 25-ös portjára.
Eddig ezeket próbáltam az y gépen:

iptables -t nat -A OUTPUT -p tcp -d x.x.x.x --dport 25 -j DNAT --to-destination y
Invalid argument

iptables -t nat -A OUTPUT -p tcp -d x.x.x.x --dport 25 -j REDIRECT --to-port 25
Így sem jó

Mit rontok el?

Előre is köszi

( bandy | 2005. 04. 14., cs – 11:38 )

iptables -A PREROUTING -t nat -p tcp -d tuzfal_ip --dport 25 -j DNAT --to mailserver

( FoREE | 2005. 04. 14., cs – 11:43 )

szerintem:

[code:1:6d763afff3]iptables -A PREROUTING -t nat -p tcp --dport 25 -j DNAT --to-destination mailserver_ip:25[/code:1:6d763afff3]

( kkkkkk | 2005. 04. 14., cs – 11:46 )

Ha a helyi gépről megy ki egy csomag az átmegy a PREROUTING láncon?

( bandy | 2005. 04. 14., cs – 12:05 )

[quote:1922de66fd="kkkkkk"]Ha a helyi gépről megy ki egy csomag az átmegy a PREROUTING láncon?

Legjobb tudomásom szerint a prerouteing láncba minden belemegy, ami átmegy ethX interface-n (vagy pppX-en).

( FoREE | 2005. 04. 14., cs – 12:15 )

ha helyi gep alatt a localhostot (127.0.0.1) erted akkor nem

ha localhostrol kiindulok csomagokat akarod redirectelni, akkor

[code:1:292e65f411]iptables -t nat -A OUTPUT -t tcp --dport 25 -j DNAT --to-destination mailserver_ip:25[/code:1:292e65f411]

( kkkkkk | 2005. 04. 14., cs – 12:51 )

Szerintem sem megy át a PREROUTING-on azért próbálkoztam az OUTPUT láncnál

Ezzel kezdtem:

iptables -t nat -A OUTPUT -p tcp -d x.x.x.x --dport 25 -j DNAT --to-destination y

valamiért Invalid argument-et ír ki, ha

-j ACCEPT-et írok semmi baja(nincs benne elírás)

a kernelben minden benne van aminek benne kell lennie

Tiszta ideg vagyok délutánra működnie kéne

Köszi minden eddigi segítséget

( kkkkkk | 2005. 04. 14., cs – 12:52 )

Kipróbáltam a PREROUTING-os variációt is nem megy

( kkkkkk | 2005. 04. 14., cs – 12:59 )

A leendő mailserver(y gép) előtt ülök és a konzolon ezt írom be:

telnet x.x.x.x 25

...Connection timed out

Azt szeretném ha ez a telnet az y gép 25-ös portjára csatlakozna

( FoREE | 2005. 04. 14., cs – 13:05 )

invalid argument --do-destination ip:port
igy?

( FoREE | 2005. 04. 14., cs – 13:14 )

masik tippep:

CONFIG_IP_NF_NAT_LOCAL
nincs benne a kerneledben (2.4)

( bandy | 2005. 04. 14., cs – 13:15 )

[quote:f644f87bd1="kkkkkk"]Kipróbáltam a PREROUTING-os variációt is nem megy

Úgy is kipróbáltad, hogy nem a local mailszerverről akarsz kapcsolódni? gondolom a levelezőkliensek nem fognak localhostról kapcsolódni... akkor meg simán bemegy a csomag a PREROUTING láncba...

( kkkkkk | 2005. 04. 14., cs – 13:20 )

--to-destination ip
--to-destination ip:port

egyik se

kipróbáltam egy másik gépen ahol a PREROUTING-ban vannak DNAT targetek és beillesztettem
iptables -t nat -A OUTPUT -o eth2 -p tcp -d 192.168.3.4 --dport 25 -j DNAT --to-destination 192.168.3.45:25

ua. Invalid argument

pedig a man szerint az OUTPUT láncban is lehet DNAT-olni

( FoREE | 2005. 04. 14., cs – 13:24 )

[quote:7d7a63e5b9="kkkkkk"]pedig a man szerint az OUTPUT láncban is lehet DNAT-olni

lehet hat. az en gepemen megy is...
kernelben benne van a local nat (v2.4) vagy a full nat (v2.6) engedelyezese?

( kkkkkk | 2005. 04. 14., cs – 13:32 )

A local nat nem volt benne már megy

Nagyon szépen köszönöm a segítségeteket

( nc | 2005. 04. 14., cs – 13:45 )

Mikor lesz a linuxos csomagszűrés egyszer végre átlátható? (Költői kérdés)

Amúgy ha jól értettem a problémát, akkor ez rinetd-vel oldható meg a legyegyszerűbben.