átjárón "vissza"forward - iptablessel

Fórumok

Sziasztok!
Nem nagyon találtam rá megoldást, de lehet azt is, hogy rosszul kerestem :)

A feladat:

van egy debianos gép, 2 hálókártyával, átjárónak kinevezve.

eth1 a WAN láb, ide ktv-s vonal, DHCP-vel szépen okosan megy, van rajta egy dyndns domain is, hogy el lehessen kintről érni;
eth0 LAN láb, 192.168.1.0/24 tartománnyal.

A belső LAN-on van egy fejlesztői szerver, amin egy apacs szaladgál (php-val), és azt szeretném megoldani, hogy a LAN oldalról is a külső IPcímmel lehessen elérni a belső fejlesztői szervert.

Ami eddig bennevan iptables-be (a felesleges kiszedve):


iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -m tcp -p tcp --dport 80 -j DNAT --to 192.168.1.99:80
iptables -t filter -A FORWARD -m state --state NEW -m tcp -p tcp -d 192.168.1.99 --dport 80 -j ACCEPT

Kintről elérhető a belső fejlesztői szerver, de bentről csak a belső IPcímmel hajlandó kapcsolódni.
Van valami ötlet, hogy merre keresgéljek?
Köszi mindenkinek

Hozzászólások

A fejlesztői szervernek belső címe van és csak portot forwardolsz, vagy külső címe van és routeolsz?
Gyanítom az első eset áll fenn. Ez esetben felejtős a "visszaforward" koncepciód. Ha név alapú elérés is elég hogy azonos legyen, és nem kell IP alapú, akkor a belső DNS-be belső címmel vedd fel a szervered, a külsőben meg a külsővel van. Így ha belülről mész, a belső cím lesz feloldva.

iptables -t nat -A PREROUTING -i eth1 -m tcp -p tcp --dport 80 -j DNAT --to 192.168.1.99:80

ezzel csak a netrol jovo 80-as port forgalmat dobod tovabb. mivel a lan az eth0-rol jon nemfog csinalni azzal semmit. tipp: vedd ki a -i eth1-et:

iptables -t nat -A PREROUTING -p tcp -d kulsoipd --dport 80 -j DNAT --to 192.168.1.99:80

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Kintről elérhető a belső fejlesztői szerver, de bentről csak a belső IPcímmel hajlandó kapcsolódni.
Van valami ötlet, hogy merre keresgéljek?

a) megoldás: elfelejted

b) megoldás: másik subnetre rakod bent a szervert, mint a klienseket, azaz megoldod, hogy a NAT-oló gateway-en menjen oda-vissaz a forgalom (ugyanabból az IP subnetből, mint ahol bent üzemel a szerver, sosem fogod tudni elérni a kinti címével)

c) megoldás: (ez nálad nem fog menni, mert nincs a szervernek dedikált fix kinti IP címe) a gépnek saját, fix kinti IP címet szerzel, és ezt a címet a gép dummy0 interfészére veszed fel, a gateway-nek ez az IP cím nem lesz címe, viszont proxy ARP-vel válaszol a kintről jövő kérésekre, majd a tűzfalon NAT nélkül továbbengedi