On 09/27/2016 21:25, Fehér Sándor wrote:
Ellenőriztem a sort a szerveren és nem "s" hanem "d" ezt elnéztem.
Ha úgy lenne ahogy írtam, akkor a net sem működne :)
Így van helyesen:
$IPT -A PREOUTING -t nat -i $lan -d 192.168.4.251/32 -p tcp --dport 80
-j DNAT --to-destination 192.168.4.251:80


igazan nem kotekedes, de nem ertem ennek a lenyeget. en vagyok a router. egy csomo labam van. az egyiken bejon egy csomag. nezem: forras a lan, cel a 192.168.4.251, tcp/80-ra megy. hopp, ezt meg kell natolnom, ujrairnom a cel cimet... ugyanarra...? ennek mi ertelme?

Ez semmi hasznosat nem tesz hozza a forgalomhoz, gyakorlatilag atirod a 192.168.4.251 -et 192.168.4.251 -re.

Amúgy maga a megoldás az otthoni tűzfalamnak a másolása és konvertálása
mert otthon van egy freepbx szerverem (asterix).

Asterix a rajzfilm figura, Asterisk a telefonkozpont.


Annyi a különbség a két rendszer között, hogy otthon mikrotik
routerboard van.

Mint irtam az elozo levelemben, a routerek egyedi modon valositjak meg a forgalom tovabbitasat es szamtalan tenyezotol fugg. Routerrol routerre mas es mas.

Röviden mikrotikkel megtudtam csinálni és iptables-en nem akar menni.


Eddig mindket iptables, amit bemasoltal, nem azt csinalja, mint amit szerettel volna :)

Futok vele még egy kört, értelmezem a leírtakat. :)

En is tovabb gondoltam azota a dolgot. Azota azon toprengek, hogy vajon miert allitottad, hogya szerver a router fele kuldi el a valaszt, mikozben ezt semmilyen teny nem tamasztotta ala. Vegig azt felteteleztem, hogy tuti nem arra kuldi, csak ugy gondolod, mert a router a default gw.

Aztan rajottem egy ujabb buktatora. Mi van, ha az iptablesed jo, csak nem birtad hiba nelkul bemasolni az emailbe? Mi van, ha valojaban ezt akartad volna irni:

iptables -t nat -A PREROUTING -s $lan -s <lan range> -p tcp -d <publikus cim> --dport 80 -j DNAT --to-destination <privat ip>:80

Mert a fentinek ertelme is lenne es jogosan hihetne az ember, hogy ettol mukodni fog: a bentrol erkezo csomagokat, amik a publikus cimre mennek atiranyitod a privatra.

Itt megint attol fugg minden, hogy milyen router, milyen szoftver. De ahogy annak idejen tanitottak: plan for the worst, hope for the best.

Szerintem a fenti eseten a kovetkezo tortenik. A kliensed, 192.168.4.akarmi kuld egy csomagot a routernek, hiszen az internet arra van. A router a fenti iptables miatt eszreveszi, hogy ezt nem kifele, hanem befele kell kuldenie a szerver privat IP cimere. Atirja a cimzett IP cimet, erintetlenul hagyja a forras IP cimet es kikuldi.

A szerver pedig azt latja. Juhe, bejott egy csomag. Felado IP cime: 192.168.4.akarmi (az eredeti). Felado MAC cime: ez bizony a routered MAC cime lesz, mert o kuldte ki a csomagot. A szerver ezt a MAC/IP parositast boldogan feljegyzi az ARP cache-be. Megfogalmazza a valaszt es nekilat kikuldeni. Hova is?

A cel IP cim ugye az eredeti forras cim - ez rendben van, 192.168.4.akarmi. Ez egy halozaton van vele, orommel veszi eszre, igy aztan fogja es a cache-bol kiveszi a MAC cimet es elkuldi a valaszt. Igen, csak hogy a MAC cim a routere lesz, nem a PC-e aki eredetileg az oldalt le akarta volna tolteni.

Igy aztan a router csodalkozva latja, hogy az o MAC cimere kuldtek valamit, amiben egy idegen IP cim van ami nem tartozik semmihez. Butan nez, majd eldobja - ez nem nekem jott.

Felteve, hogy az eredeti levelben es a masodikban is csak annyi a hiba, hogy az iptables-t rosszul masoltad be es valojaban azt akartad beirni, mint amit en fent - ez az emlelet pontosan megfelel annak, amit tapasztalsz (ha valoban azt tapasztalod).

Osszessegeben tehat azt gondolom, hogy az eredeti koncepciod nem csak alapjaiban hibas, de tobb implementacios hiba is van benne.

Koncepcionalisan hibas, miert egy lokalis, lan-lan forgalomnak semmi de semmi keresnivaloja nincs a routereden. Feleslegesen noveli rajta a terhelest, a forgalmat, raadasul hibaja eseten a webszerver is elerhetetlen lesz, pedig semmi koze hozza.

Implementacios hibak pedig azert vannak benne, mert vagy az iptables probalkozasaid hibasak, vagy ha az jo is, akkor sem megy jo helyre a valasz forgalom - de mint irtam ez router implementacio kerdese. Ha most epp megy is, a jovoben egy masik routerrel esetleg majd nem fog.

A problemadra van egy koncepcionalisan es egyebkent is helyes megoldas, en a helyeedben annal maradnek - ez a foldrajzilag jellemzo DNS valaszok alkalmazasa (azaz kintre a publikusat, bentre a privatot valaszolja a DNS). Hogy ezt ket DNS szerverrel, ket zonaval vagy DNS doctoringgal oldod-e meg, az mar reszletkerdes.

udv
adam
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

válasz