[linux] Re: Doorgifte IP probleem

Rob Sterenborg rob op sterenborg.info
Za Okt 22 11:36:38 CEST 2005


>> $ipt -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>> $ipt -A FORWARD -i eth0 -o eth1 -d 172.16.10.10 -p tcp \
>>   --dport 80 -j ACCEPT
>> $ipt -t nat -A PREROUTING -i eth0 -d x.y.z.135 -p tcp \
>>   --dport 80 - j DNAT --to 172.16.10.10 
> 
> Ik gebruik de hierboven omschreven IPT rules en kan vanaf de
> Win 2003 machine op internet komen
> 

Zijn er rules die deze packets kunnen blokkeren voordat ze ge-DNAT
kunnen worden ? Je zou wat logging rules in je ruleset kunnen opnemen om
te zien wat er met je packets gebeurt en zien tot waar ze komen ; wij
kunnen het zo ook niet zien.

> Onderstaande opmerking begrijp ik niet helemaal, ik gebruik Squid
>
>> Waarom niet Squid gebruiken op de fedora machine als reverse proxy 
>> voor de IIS machine. Kennisnet/NL.Tree deed dat ook dus het zal
>> toch geen slecht idee zijn?

Je kan Squid ook gebruiken om ipv van "binnen naar buiten", "van buiten
naar binnen" te gaan.
Als je Dat is ook een optie.

Dat je Squid gebruikt is nieuwe info.
Doe je dat voor IE op de Win2k3 doos ? Houdt dat in dat die machine
verder geen internet toegang heeft (zoals ping, telnet, smtp, ...) ? In
dat geval kan er nog steeds een routing probleem zijn (default gateway
of zo).

Dit geeft dus nog steeds twijfel of je ip_forward op 1 hebt gezet en of
je route tabellen kloppen en over hoe de rest van je ruleset er uit
ziet.


Gr,
Rob




More information about the Linux mailing list