problem z redirectem

[Mikolaj Kucharski]

On Thu, Dec 08, 2005 at 10:34:35AM +0100, Przemysław Backiel wrote:
> > Jezeli brama to takze `192.168.1.1:81' to moze zadziala linijka
> > wklejona ponizej odpowiedio zmodyfikowana do Twoich potrzeb.
> > 
> > -A PREROUTING -i eth0 -s 192.168.110.0/24 \
> > 	-p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
> > 
> brama to nie jest 192.168.1.1
> brama to 192.168.1.2
> nie wiem dlaczego mój trick nie działą
> 
> jak zrobie tak:
> iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 80 -s 192.168.1.9
> -j DNAT --to-destination 192.168.1.1:81
> to www w ogole nie działa, widze ze dns poprawnie odpytany, a www nie 
> działa, przy czym, mój "redirect" takze nie działą
> 
> stronka działą poprawnie jak wejde
> http://192.168.1.1:81 to jest ok..

Jak napisal Michal, tcpdump(8) prawde powie. Komputer 192.168.1.9
wysyla pakiet

	src ip 192.168.1.9 port $random > dst ip $radnom port 80

dochodzi to do bramy(192.168.1.2), ktora przekierowuje pakiet do
192.168.1.1:81, wiec po modyfikacji pakietu przez DNAT, powinien on
wygladac mniej wiecej tak

	src ip 192.168.1.9 port $radnom > dst ip 192.168.1.1 port 81

wiec jak to dostaje 192.168.1.1 proboje to odeslac do systemu ktory to
wyslal (src ip 192.168.1.9)

	src ip 192.168.1.1 port 81 > dst ip 192.168.1.9 port $radnom

Nie jst to czego spiedziewa sie 192.168.1.9. Ja tak to widze, ale moge
sie mylic. Osobiscie zrobilbym male proxy za pomoca nc(1) na bramie do
192.168.1.1:81:

# cat /etc/sysconfig/rc-inetd/nc-tunnel-1
SERVICE_NAME=nc-tun-1
SOCK_TYPE=stream
PROTOCOL=tcp
PORT=8181 w 192.168.1.2
SERVER=/usr/bin/nc
DAEMON=nc
DAEMONARGS="-w 20 192.168.1.1 81"

A w iptables odpowiednia regola do przekierowana ruchu na nc(1) proxy:

-A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp -m tcp \
	--dport 80 -j REDIRECT --to-port 8181

Jakos tak..

-- 
best regards
q#