Dostęp do serwisu za NAT-em z sieci lokalnej
Marek Guevara Braun
marek.guevara w atm.com.pl
Śro, 8 Lis 2006, 09:29:16 CET
Marek Guevara Braun wrote:
> Piotr Pawełek wrote:
>> Sytuacja wygląda tak:
>>
>> 10.1.1.x/24 --|
>> 10.1.1.50 --|
>> - 10.1.1.1 eth0 - (router)
>> |
>> ppp0 (Dyn.IP) - internet
>> xxx.no-ip.org
>
> Zwróć uwagę, że jeśli będziesz przekierowywał ruch z LANu skierowany na
> xxx.no-ip.org:80 na 10.1.1.50 (reguła DNAT) to maszyna ta dostanie
> pakiet z adresem źródłowym w tym samym segmencie sieciowym - czyli ruch
> powrotny nie pójdzie via router tylko bezpośrednio. Czyli wymieniona
> niżej reguła SNAT nie będzie miała okazji zadziałać, a komputer z sieci
> LAN dostanie pakiet powrotny z adresu 10.1.1.50.
Właśnie doczytałem że chcesz maskować ruch z LAN do WWW czyli
zastosowanie ma:
> jeśli natomiast ta reguła miała maskować ruch z LAN w kierunku serwera
> WWW to po pierwsze możesz olać -d, a po drugie nie specyfikować portu
> (bo wtedy cały ruch z LANu będzie widziany przez serwer WWW jako
> pochodzący z portu 80 routera).
Żeby zabezpieczyć się przed spryciarzami, którzy ustawią sobie routing
do innych maszyn z LAN via router, dodaj filtrowanie ruchu LAN <-> WWW
w łańcuchu FORWARD.
Więcej informacji o liście dyskusyjnej pld-users-pl