רוטר - אשמח לעזרה ממי שמבין בiptables

יומן פעילות	לוח שנה	מבזקי חדשות	תקנון	RSS	כותרות	כותרות לפי תגובה	ניקוי קוקיז	IP	להורדת אפליקציה
eBay	AliExpress	GearBest	Amazon	Booking	Kiwi	SkyScanner	Trip Advisor

"אשמח לעזרה ממי שמבין בiptables"

גירסת הדפסה

קבוצות דיון חומרה, רשתות ואבטחת מידע נושא #22957	מנהל סגן המנהל מפקח Winner צל"ש מומחה

אשכול מספר 22957

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק

18:25 30.04.15

אשמח לעזרה ממי שמבין בiptables

מנסה לעשות nat כפול ...
dnat מה wan פנימה לlan יעני port forward
ו snat שאותו פאקט ישנה את הסורס בו לכתובת הממשק של הראוטר.
אני רוצה להגיע לממשק של שרת שיש לי ברשת מהאינטרנט אבל שהשרת ירגיש כאילו זה בא מהlan

נשלח ע"י הסלולרי

שתף

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

האשכול	מחבר	תאריך כתיבה	מספר
אני לא חושב שזה אפשרי עם ראוטר רגיל	eli-15	03.05.15 11:56	1
עדיף שתשרטט בדיוק מה התצורה שאתה רוצה או למה זה משמש אולי יש פתרון אחר	Specter	03.05.15 19:15	2
האמת שהצלחתי במימוש	code_blue	03.05.15 21:29	3
אתה לא יכול להפיץ שרת פנימי החוצה בלי שיהיה לו HIDE NAT ובלי	eli-15	03.05.15 23:49	4
יש דאבל nat	code_blue	04.05.15 13:52	5

eli-15

חבר מתאריך 25.9.03
19179 הודעות, 1 פידבק

11:56 03.05.15

1. אני לא חושב שזה אפשרי עם ראוטר רגיל
בתגובה להודעה מספר 0

עם פיירוול רציני אולי תצליח וגם אז זה ברוב המקרים יהיה לא נתמך.
אני יודע שצ'קפוינט סיסקו ופורטיגייט לא תומכים בזה.
NAT כפול = בעיות
זה נשמע כמו יותר עבודה של PROXY ARP כדי להפיץ שרת החוצה, ואז חוק NAT שיתרגם כתובות חיצוניות לכתובות LAN

אם יש פיירוול בסביבה אתה תקבל ANTI SPOOFING

www.facebook.com/tnagarut

תעשיות נגרות
עיצוב וייצור ריהוט בהזמנה

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Specter
חבר מתאריך 1.8.02
20205 הודעות

19:15 03.05.15

2. עדיף שתשרטט בדיוק מה התצורה שאתה רוצה או למה זה משמש אולי יש פתרון אחר
בתגובה להודעה מספר 0

בכל אופן לדעתי תקרא קצת על masquerade ב nat table של iptables

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק

21:29 03.05.15

3. האמת שהצלחתי במימוש
בתגובה להודעה מספר 0

יש לי openwrt שמריץ iptables.
מה שאני רוצה זה משהו די פשוט
הראוטר מחובר ברגל wan למודם vdsl
בנוסף לpppoe הקמתי רגל וירטואלית על אותו vlan עם כתובת מהסבנט של המודם.
הגישה למודם מעולה מתוך הרשת הפנימית אבל רציתי שגם מבחוץ מהעולם יהיה אפשרי להגיע
אז עשיתי port forward לכיוון הכתובת של המודם - זה עבד אבל אז קיבלתי ממשק מוזר של הראוטר אז חשבתי שבגלל שהוא מזהה שמגיע פאקט עם כתובת חוקית הוא נותן את הממשק המוזר.
ניסיתי שיתבצע שינוי הסורס כשהפאקט דווקא נכנס לרשת .
כלומר פאקט שיגיע מהעולם ישתנה לו הסורס לכתובת של הממשק הוירטואלי שעל הראוטר ויגיע למודם כאילו הוא מהרשת הפנימית.
הצלחתי להגדיר ואפילו ווידאתי עם tcpdump שאכן זה מתממש אבל עדיין קיבלתי את הממשק המוזר.

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

eli-15

חבר מתאריך 25.9.03
19179 הודעות, 1 פידבק

23:49 03.05.15

4. אתה לא יכול להפיץ שרת פנימי החוצה בלי שיהיה לו HIDE NAT ובלי
בתגובה להודעה מספר 3

שהראוטר ידע שאם פונים אליו (הרי הפניה היא לאייפי של הראוטר) אז הוא צריך לכוון את הפאקטה ספציפית לIP הפנימי הזה, בלי PROXY ARP.

www.facebook.com/tnagarut

תעשיות נגרות
עיצוב וייצור ריהוט בהזמנה

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק

13:52 04.05.15

5. יש דאבל nat
בתגובה להודעה מספר 4

גם פנימה ... ואז מי שיגיע מבחוץ לבפנים הסורס ישתנה לכתובת lan של הראוטר
ויש גם nat חוצה שהסורס משתנה כשהפאקט יוצא חזרה לאינטרנט לכתובת החוקית

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד