From: ILKER FICICILAR (ilkerf@isbank.net.tr)
Date: Wed 07 May 2003 - 22:58:24 EEST
Merhaba,
Ne yazIk ki cikis aygitini preroutingte belirtemeyiz (_PRE_route
durumu). Ama iptables ile olusturdugumuz kurallar sirasiyla
uygulandigina göre, bir numara çeksek ve DNAT ile hedef adresi iç ag
olanlari yine 80. porta yönlendirsek? Sorunuzu tam anlamamis
olabilecegimden bu yanit anlamsiz kaçabilir ama, ardarda iki tane
prerouting kurali koymak mümkün:
Mesela iç aginizdaki ERP makinasi 192.168.0.1 deyse:
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.1 \
--dport 80 -j DPORT --to-destination 192.168.0.1:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
-j REDIRECT --to-port 8080
Kural tablosunda rastlanan ilk kural uygulanacagindan, ilk kural ile iç
agdaki proxy yönlendirmesi yapilmamis olur/olabilir.
iptables -L -t nat ile Söyle görünecektir herhalde:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 192.168.0.1 tcp dpt:80
to:192.168.0.1:80
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
redir ports 8080
Yalniz, yine de network yapinizi pek anlayamadigimdan bu örnek tam bir
yanit olusturmuyor. Fakat ana fikir, sizin prerouting'de "-o" ile çIkIs
cihazInI belirtemeyeceginiz, ama prerouting'de birden çok ve sirasIyla
sInanIp uyan ilkinin uygulanacagI kurallar yazabileceginiz. Ve,
kurallarda NOT (degil) islemi olsa daha kolay uygulayabilecegimiz bir
yöntemi DNAT ile uygulama olasIlIgInIzIn oldugu.
Ise yarayip yaramadigini, veya yanlis anlasilmayi giderebilecek ek
bilgileri iletebilirseniz belki baska bir çözüm bulunabilir.
Kolay gelsin ve hoscakalin.
On Wed, 7 May 2003 10:39:11 +0300
Mustafa Özbakır <mozbakir@deba.com.tr> wrote:
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 8080
...
-- ... ilker FIÇICILAR ilkerf@geocities.com ... ftp://ekitap.2y.net/ . Elektronik Kitaplar ... http://ekitap.2y.net/ftp.php . E-Kitap Dizini ... http://ilkerf.tripod.com/teknik/ . Linux & Bilgi ... http://ekitap.kolayweb.com/ . Palm icin E-kitap ... http://mezopotamya.tripod.com/ . Arkeoloji ... http://nukleer.findhere.org/ . Nukleer Enerji ... http://ilkerf.tripod.com/cbm.html . C64/C128 ------------------------------------------------------------------ Virus taramasi Vexira AV programi kullanilarak Is Net tarafindan yapilmistir. This e-mail is checked by Is Net against all known types of viruses using Vexira AV. Is Net'in en ucuz saatlik kullanim paketi Teneffus.Net'i ve en ucuz sinirsiz erisim paketi Taksitli Ekonet'i duymus muydunuz? http://www.isnet.net.tr/teneffusnet/ http://www.isnet.net.tr/taksitliekonet/