unixforum.org

NeverM писал(а): ↑

28.11.2007 15:45

Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую

NeverM писал(а): ↑

28.11.2007 15:45

Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую

snoz писал(а): ↑

29.11.2007 20:54

NeverM писал(а): ↑

28.11.2007 15:45

Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую

Ну если у тебя на данном сервере настроен и скомпилирован в ядре nat
То редирект можно реализовать добавлением правила вида:
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80

DaemonTux писал(а): ↑

30.11.2007 02:59

snoz писал(а): ↑

29.11.2007 20:54

NeverM писал(а): ↑

28.11.2007 15:45

Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую

Ну если у тебя на данном сервере настроен и скомпилирован в ядре nat
То редирект можно реализовать добавлением правила вида:
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80

Так это не ридерект. Это проброс.

snoz писал(а): ↑

30.11.2007 08:58

DaemonTux писал(а): ↑

30.11.2007 02:59

snoz писал(а): ↑

29.11.2007 20:54

NeverM писал(а): ↑

28.11.2007 15:45

Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую

Ну если у тебя на данном сервере настроен и скомпилирован в ядре nat
То редирект можно реализовать добавлением правила вида:
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80

Так это не ридерект. Это проброс.

Верно так это именно то что ему и нужно, насколько я помню REDIRECT выполняет перенаправление пакетов и потоков на другой порт того же самого хоста.
Паправьте если я ошибся.!!!
А если строчку привести к такому виду
iptables -t nat -A PREROUTING -p tcp-s 1.1.1.0/24 -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80
Будет думаю вернее, опять же это моё предположение я же не знаю настроен у него нат или маскарад.

DaemonTux писал(а): ↑

30.11.2007 12:37

snoz писал(а): ↑

30.11.2007 08:58

DaemonTux писал(а): ↑

30.11.2007 02:59

snoz писал(а): ↑

29.11.2007 20:54

NeverM писал(а): ↑

28.11.2007 15:45

Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую

Ну если у тебя на данном сервере настроен и скомпилирован в ядре nat
То редирект можно реализовать добавлением правила вида:
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80

Так это не ридерект. Это проброс.

Верно так это именно то что ему и нужно, насколько я помню REDIRECT выполняет перенаправление пакетов и потоков на другой порт того же самого хоста.
Паправьте если я ошибся.!!!
А если строчку привести к такому виду
iptables -t nat -A PREROUTING -p tcp-s 1.1.1.0/24 -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80
Будет думаю вернее, опять же это моё предположение я же не знаю настроен у него нат или маскарад.

Задача стояла чтобы трафик нешел через 1.1.1.1. А а у вас будет следующая картина. Допустим некий хост 1.1.1.5. Отправляет запрос на сервер 1.1.1.1. Сервер делает смену адреса назначения. и потом маршрутизирует пакет обратно в сеть. Сервер 1.1.1.2. Отвечает на запрос и поскольку хост наодится в той же сети. То он отправляет ответ хосту не через маршрутизатор. Хост видет что пакет пришел не от 1.1.1.1 и дропает пакет. и так пока таймаут не кончится.

Редирек в данном слуяаи означает. Что хост 1.1.1.1 должен послать некий пакет хосту 1.1.1.5 со следующим содержанием: Обращяйся напрямую к серверу 1.1.1.2.
Такая возможность опасна по тому что ежели хацкер отправит пакет с адресом отправителя 1.1.1.1 и приказанием работать с другим сервером. То он в качестве нового сервера может указать свой поддельный сервер и творить что ему захочется. Слушать трафик на предмет паролей. Читать чужие переписки.подсовывать левые пакеты. и т.д.

DaemonTux писал(а): ↑

30.11.2007 17:02

2snoz
Прочитайте первоначальный вопрос. Задача была чтобы трафик не проходил через сервер 1.1.1.1 А только один раз перенаправлялся.Тоесть чтобы после определенных манипуляций сервера 1.1.1.1 сразу стал попадать на 1.1.1.2 минуя 1.1.1.1 . А в вашем случаи он будет постояно ходить. Через 1.1.1.1 мало того хост будет отбрасывать пакеты так как запрос был послан на 1.1.1.1 а пришел с 1.1.1.2.

Ваш вариан возможен токо в том случаи если хост и сервер 1.1.1.2 будут в разных сетях. Но в этом случаи трафик будет ходить через сервак с ипом 1.1.1.1.

P. S. Завтра найду в книжке то о чем я говорю и процетирую.

P. S. S. Почитайте чтонить про маршрутизацию. А потом посылайте читать ман по iptables. Так как сам iptables трафик не маршрутизирует.

snoz писал(а): ↑

30.11.2007 17:34

Ответ никаким, кнужку себе оставь я с неё цитировал.