POSTROUTING - PREROUTING (vyriesene)

[tre-ska]

cafte... neviem ci som dal spravny nazov predmetu, snad ano.

takze mam PC s verejnou IP napr. (12.13.14.15) a pocitac ktory je v sieti ma neverejnu IP napr. (1.2.3.4) a bezi na nom FTP a moja otazka je ci sa da nejako docielit to ze ja sa pripojim na PC s verejnou IP 12.13.14.15 port.21 a ten nasledne naviazie spojenie na to PC v sieti (1.2.3.4) kde bezi ten FTP server

zhrnutie: mam pristup na PC z internetu verejna IP a chcem sa dostat na server v sieti ktori nema verejnu IP myslim ze sa to vola tunnelovanie ale nejsom si isty.

dik za odpovede

[ufaak]

da se to chapat dvema moznostma (aspon myslim ze jen dvema

a)   PC1 je pripojen do internetu a slouzi jako brana pro PC2, na kterem bezi FTP server - v tom pripade je to pomerne jednoduche, pouzijes IPTABLES na PC1. Pokud mas na PC1 i firewall, musis v nem porty 21 a 22 take povolit.

b)   PC1 je pripojen do internetu. PC2 se nachazi nekde uplne jinde a nema s PC1 nic spolecneho. Potom ano, potrebujes tunel. Tunel navazuje PC2 smerem na PC1 (protoze PC1 je ten pocitac s verejnou IP). A to jsem nikdy nepotreboval, takze nevim jak se to dela

c)   Jeste me napadla treti moznost - nasadit na PC2 IPv6, tim padem bude mit verejnou IPv6, na kterou se muze pripojit kdokoliv jiny, jen musi mit na svem PC taky IPv6. Tim padem z toho muzes PC1 (skoro) uplne vynechat. A nebo (ale nevim nakolik se to da provest), pokud predpokladas ze se bude pripojovat nekdo kdo nema IPv6, tak zprovoznit IPv6 na PC1 i na PC2, a potom veskerou komunikaci z PC1 na IPv4:21 preposilat pres IPv6 na PC2. Ale jak jsem rekl, nevim nakolik je to mozne.

Samotne zprovozneni IPv6 je velice snadne, viz navod na wiki, nebo i tady na foru.

[tre-ska]

jj je to ta prva moznost a), s rozdielom ze PC2 ma moznost pristupu na internet ale to je nepodstatne, nieje tam verejna IP

[ufaak]

v tom pripade koukni na http://www.root.cz/serialy/vse-o-iptables/

[tre-ska]

tak som pridal toto a nejak to nechodi... neviete v com by mohol byt problem?

Kód: [Vybrat]

iptables -t nat -A PREROUTING -d 192.168.0.199 -p tcp --dport 21 -j DNAT --to-destination 10.16.120.250:21
iptables -t nat -I POSTROUTING -j MASQUERADE

Kód: [Vybrat]

treska-desktop treska # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             treska-desktop.local tcp dpt:3979 to:10.16.120.250:3979
DNAT       udp  --  anywhere             treska-desktop.local udp dpt:3979 to:10.16.120.250:3979
DNAT       udp  --  anywhere             anywhere            udp dpt:3979 to:10.16.120.250:3979

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       udp  --  anywhere             anywhere            udp dpt:3979 to:192.168.0.199

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
treska-desktop treska # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             10.16.120.250       tcp dpt:3979
ACCEPT     udp  --  anywhere             10.16.120.250       udp dpt:3979
ACCEPT     udp  --  anywhere             10.16.120.250       udp dpt:3979

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination