Автор Тема: iptables - Пренасочване на отговарящия трафик  (Прочетена 1499 пъти)

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Здравейте колеги,

Сблъсках се със следния проблем. Искам да направя едно пренасочване, нека първо обясня приложението и след това какво искам да направя.

Значи, приложението работи така, пуска заявка която изпраща към сървър X, сървър X му отговаря, че всичко е наред. Целта ми е отговора на сървър X да се пренасочва към IP от друга мрежа без да излиза ип-то на сървъра пуснал заявката.

Ето един пример:
Моето IP: 127.0.0.1
IP-то на сървър Х от дружа мрежа: 212.0.0.1
IP-то към което искам да пренасоча заявката: 143.0.0.1

Така, ето я и ситуацията:
127.0.0.1 изпраща пакет със въпрос:

Сървър 212.0.0.1 приема въпроса и изпраща обратен отговор на 127.0.0.1

127.0.0.1 от своя страна прави редирект на пакета към 143.0.0.1, като той е само точка на редирект, тоест не искам да излиза неговото IP при пренасочване на заявката.

Надявам се да сте ме разбрали, това което пробвах, беше:
Код:
iptables -t nat -А PREROUTING -p udp -i eth0 --dport 453 -j DNAT --to 143.0.0.1:5433
-- Това прави така, че препраща не отговора а заявката
Код:
iptables -t nat -А OUTPUT -p udp -i eth0 --dport 453 -j DNAT --to 143.0.0.1:5433
-- Това прави същото
Код:
iptables -t nat -А POSTROUTING -p udp -o eth0 --dport 453 -j SNAT --to 143.0.0.1:5433
-- Това не действа изобщо

Въпроса ми като цяло е, това изобщо възможно ли е да се направи или просто се мъча напразно?

Благодаря предварително.
Активен

Linux is the LIFE!

edmon

  • Гост
за мен е по-интересно да гадя какво искаш да направиш-
а/ имаш някакъв платен/лицензен софтуер, който искаш да надцакаш
б/ имаш тъмни планове да краднеш накакво инфо
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Добре не е ли достатъчно малкия авторитет който имам в форума?

Софтуера който пиша отговаря за следенето на няколко вътрешни сървъра, тоест отговора който ще се получи към съответния адрес (третия) е мой сървър който обработва информацията и я изкарва като статистика, но тази статистика не трябва да включва адреса на рутиращата машина. Малко не обясних точно, но мисля, че ме разбрахте. Системата не е сложна, направил съм всичко останало остана ми само това пренасочване. Мисълта ми беше някой поне насока да ми даде, останалото аз ще се оправя, но ако се почва с изрази от типа: "Ще го ползваш за хахорски действия" по-добре да се оттегля навреме. Колега не ме разбирай погрешно нямам нищо против теб, но искам просто коректно отношение. Ако не желаете да ми дадете конкретен пример, за да не го разберат други потребители поне ми дайте насока, защото документацията на iptables не ми е достатъчна.

Благодаря :)
Активен

Linux is the LIFE!

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Така случайно да не си имал предвид --dport, а --sport ? Силно съмнително ми се вижда всичките заявки които  правиш да са s един и същ, точно определен source port.
Активен

"Knowledge is power" - France is Bacon

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
dport реално се явява на eth0 на изхода на мрежата, а sport се явява на eth1 на която е вътрешната мрежа и при двата случая резултата е един и същ, изпраща не отговора а заявката.
Активен

Linux is the LIFE!

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
source и destination портовете нямат нищо общо с това през кой интерфейс са прекарани. Мисля че има един основен проблем точно тук. Предполагам че в общи линии си запознат с OSI модела и как работи IP протокола, остава тази подробност свързана с iptables. Source/destination порта на пакетите от гледна точка на iptables не е спрямо това дали пакета е входящ/изходящ за хоста, това би било доста объркващо. Далеч по-тривиално е, UDP хедъра просто има две полета с src port и dst port. --sport и --dport мачват именно тези две полета.

Това казано, виж внимателно приложението на кой порт слухти и ти на кой порт трябва да редиректваш отговорите на машината X. Не виждам причина цялата постановка да е по-сложна от едно DNAT правило в PREROUTING.
Активен

"Knowledge is power" - France is Bacon

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Играя си вече, цял ден и резултат няма. Не става както и да го мъча или да обръщам правилата.
Активен

Linux is the LIFE!

edmon

  • Гост
Не знам какво е възможно и какво не , но не е ли възможно там където водиш статистиката просто да филтрираш информацията от рутер.
А за първия пост- нещо като се представя завоалирано винаги развихря фантазията ми :) Извин.!
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Не знам какво е възможно и какво не , но не е ли възможно там където водиш статистиката просто да филтрираш информацията от рутер.
А за първия пост- нещо като се представя завоалирано винаги развихря фантазията ми :) Извин.!

Не защото, реално то ми пренасочва заявката а не отговора след заявката, там ми е проблема. Просто не мога да си напиша правилно правилото за връщане на отговора. Греша някъде, но не мога да си открия грешката, за втори път чета ред по ред документацията на iptables и то по-специално за правилата DNAT и SNAT, просто не ми се получава, най-вероятно прекалено много нерви вкарам и пропускам нещо малко, което прави целия проблем, точно поради тази причина се допитах до този форум, защото знам, че колегите разбират и се надявам и да помогнат.
Активен

Linux is the LIFE!

dev_urandom

  • Напреднали
  • *****
  • Публикации: 114
  • Distribution: Slackware
    • Профил
Пробва ли един прост tcpdump ?
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Пробва ли един прост tcpdump ?

Как по-точно с  tcpdump да направя редирект на трафика? Него го използвам само за следене, не съм много убеден, че има подобна функция, но може и да греша, разясни малко?
Активен

Linux is the LIFE!

dev_urandom

  • Напреднали
  • *****
  • Публикации: 114
  • Distribution: Slackware
    • Профил
Точно за следенето имах предвид - да видиш накъде "хвърчат" пакетите ?
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Да, това го правя, но все пак не ми се получава. Четох, че това е ip spoofing и повечето доставчици го забраняват, както и някой switch-ове режат такива пакети, възможно ли е да е от това? Ако е така, възможно ли е заради това да не се получава?
Активен

Linux is the LIFE!

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 3742 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 3564 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 4148 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 4251 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 3289 Последна публикация May 03, 2003, 17:00
от