[Tech] DNAT

[Aldo Podavini]

Scrive Iacopo Spalletti <i.spalletti@iast.it>:

> Se non ho capito male le regole
> iptables -t mangle -A PREROUTING -s CLIENT -d SERVER -j MARK --set-mark
> 10
> ip rule add fwmark 10 table 2
> ip route add default via SERVER dev ethX table 2
> Vanno applicate sul server, giusto?
> 

Beh, no...
Direi che vanno applicate sul fw
In pratica dici al kernel: 
1) prima di fare il routing (ossia in PREROUTING) dei pacchetti che arrivano 
dal client (-S CLIENT) e che sono diretti al server (-d SERVER, dove SERVER è 
l'indirizzo pubblico), mettici un timbro (-j MARK --set-mark 10), che ti 
permetta poi di riconoscerli in fase di routing
2) in fase di routing, per tutti i pacchetti "timbrati" col 10 in prerouting 
(ip rule add fwmark 10 ...), utilizza una tabella apposta, la n.2 (... table 2)
3) per tutti i pacchetti ruotati dalla tabella 2, utilizza come default gateway 
il server, raggiungibile tramite l'interfaccia ethX (ip route add default via 
SERVER dev ethX table 2; in realtà mi pare che in questo caso SERVER sia invece 
l'indirizzo locale del server. Giusto Simone ?)

Ciao
Aldo

Aldo



-------------------------------------------------
This mail sent through IMP: http://horde.org/imp/