From: Serdar KOYLU (serdar@uludag.org.tr)
Date: Mon 02 May 2005 - 12:08:06 EEST
Selamlar..
> iki farkli subnet arasinda ip_forward=0 olan bir linux ile paket
> forward etmek mumkun:
>
> hem SNAT hem de DNAT yaptiginizda
>
> -A PREROUTING -i eth2 -p tcp -m tcp --dport 22 -j DNAT
> --to-destination 10.0.1.254:22
> -A POSTROUTING -p tcp -m tcp --dport 22 -j SNAT --to-source 10.0.1.2
>
> Burada gorulmeyen sey, eth2'nin 192.168.1.0/24 oldugu.. Bu kural
> internet paylastiran makinada bir ise yaramayacak olup (DNAT'tan
> dolayi) ancak belli iplere erisim acmak mumkun ve iskence olacaktir...
Su anda HOWTO'lar, mevcut kodlar vs.den anlasilan teoriye bakalim:
http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-5.html
Adresine bakilmalidir oncelikle. Buradan gorulecegi uzere, sizin
adresini yenilediginiz paket, "routing decision" a girecek. Burada yerel
bir adres degilse, forward edilmeye calisilacak. Eger, ip_forward kapali
ise, forward edilmeyip drop edilecek, tercihinize gore bir ICMP mesaji
vs. gonderilebilecek. Ama bu paket asla tekrar netfilter'e ugrayip,
FORWARD -> POSTROUTING zincirine gecmeyecek.
10.0.1.254 makinenin local adresi ise, bu yerelde calisan 22/tcp
sunucusuna iletilecek. Boyle bir sunucu yoksa, gene ICMP "connection
refused" (tercihe bagli) geri yollanacak. Bir istisna olarak, bu sunucu
var ve calisiyorsa, bir proxy/routing kabiliyeti olan bir sunucusu ise
(squid (proxy) gibi veya smtp (relaying, uygun konfigurasyon ile) gibi)
bu uygulama takip eden baglantiyi kendi simule edebilir. Ama bu gene "ip
forwarding" konusundan bagimsizdir.
Kisacasi, bu kurallarla secimlik "NAT ROUTER" gibi bir sey yapamazsiniz.
router ile netfilter baglantisiz bir konu. Daha dogrusu netfilter asil
router'in giris-cikislarina takilmis bir plugin, bir filtre gibi gorev
yapiyor. Netfilter (iptables) kullanmadan bu ana router ile, NAT,
packet-filtering vs. yapabilirsiniz. Elinizdekiler siradan ucuz
routerlerdeki seviyede olacaktir ama basit isler icin yeterlidir. Evet,
iptables kullanmadan da web isteklerini yereldeki veya baska makinedeki
proxy'ye yonlendirebilirsiniz. Ama bu biraz daha az bilinen ve digerine
gore daha az esnek bir yontemdir. IPTABLES ise daha esnek ama, kaynak
kullanimi acisindan daha obur bir yontemdir. Tercih size kalmis.
Fakat, ip_forward'i kapattiktan sonra, makinenin proxy kullanimi
haricinde herhangi bir sekilde paketleri "nexthop" a iletmesi pek
ihtimal dahilinde gorunmuyor.
Yani, netfilter teorisi bunun boyle olacagini ongoruyor.
Bu yaptiklarinizi hic denediniz mi? Eger bu yontem ise yariyorsa bir
yerde bir sizinti var demektir ki bundan hem skb tayfasini hemde
Rusty'yi haberdar etmek gerekir.
Saygi ve sevgiler..
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu