PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kleines Quiz



Psimon
29.01.2006, 17:50
Was ist an folgendem Statement gesamtheitlich gesehen komplett falsch, wenn dsl0 das externe Device, 192.168.0.1 die IP-Adresse der Linuxbox und 192.168.0.10 die IP-Adresse des WinPC's im LAN ist?

In Worten:


Aktiviere NAT fuer FTP...
- TCP Pakete die fuer Port 21 auf dsl0 rein kommen, werden im PREROUTING mit DNAT auf 192.168.0.10:21 gemapt...
- TCP Pakete die fuer Port 21 und State NEW auf dsl0 rein kommen, werden fuer die FORWARD Chain ACCEPTED...
- TCP Pakete die auf fuer Port 21 auf dsl0 raus gehen, werden im POSTROUTING mit SNAT auf 192.168.0.1 gemapt...

In IPTABLES Syntax:



iptables -t nat -A PREROUTING -i $EXTDEV -p tcp --dport 21 -j DNAT --to-destination $WINIP:21
iptables -A FORWARD -i $EXTDEV -m state --state NEW -p tcp -d 21 --dport 21 -j ACCEPT
iptables -t nat -A POSTROUTING -o $DIALUPDEV -p tcp --dport 21 -j SNAT --to-source $GATEIP:21

Der Preis dieses kleines Quizes hängt natürlich von der Antwort ab, die man hier drauf gibt. ;o)

phrenicus
31.05.2006, 09:39
Moin,

das kann so nicht gehen, daher mehrere Fragen meinerseits:

1. IP-Adresse 192.168.0.1 wird im Internet nicht geroutet. Es macht also IMHO wenig Sinn, die Adresse per SNAT darauf zu setzen. Versuchst Du das? In anderen Worten: Wer versucht, den FTP-Server zu kontaktieren, wird auf $WINIP:21 umgebogen, bekommt aber die Antwort von 192.168.0.1, obwohl er versucht, sich mit einer echten Internet-Adresse zu verbinden. Das kann nicht gehen. Oder ist $GATEIP die externe IP vom Gateway und Deine Beschreibung ist falsch?
2. Wer reinwärts forwardet, muss auch rauswärts forwarden. Das ist aus Deinem Code nicht ersichtlich. Oder kommt die Antwort aus unerfindlichen Gründen vom Gateway selbst?

Fragen über Fragen........