LINUX.ORG.RU
ФорумAdmin

nat с помощью iptables

 


0

2

есть сервер на винде с внешним айпи (234.234.234.234), есть второй сервер на линухе с внешним айпи (123.123.123.123) Хочу чтобы клиенты коннектились через промежуточный сервер на линухе. (дебиан или центос не важно)

В мануале по iptables глаза разбегаются, и я не уверен, что это то что мне нужно. нашел на соседнем форуме:

iptables -t nat -A PREROUTING -d 123.123.123.123 -i eth1 -p udp -m udp --dport 27000 -j DNAT --to-destination 234.234.234.234:27000
iptables -I FORWARD -i eth1 -o eth1 -m state --state NEW -m conntrack --ctstate DNAT -j ACCEPT

вроде должно заработать

назрело несколько вопросов: Будет ли на сервере назначения виден айпи адрес клиента? Будет ли весь трафик форвардится через удаленный сервер? Увидят ли клиенты адрес сервера с виндой, и смогут ли это сделать? Спасибо за ответы



Последнее исправление: speedy (всего исправлений: 1)

Не заработает, т.к. клиент будет посылать пакеты на 234.234.234.234, а ответы будут приходить от 123.123.123.123. Чтобы заработало, надо добавить правило

iptables -t nat -A POSTROUTING -p udp --dport 27000 -j SNAT --to 123.123.123.123
Правило с FORWARD неверно, вместо него надо вот что:
iptables -A FORWARD -d 234.234.234.234 -p udp --dport 27000 -j ACCEPT
iptables -A FORWARD -s 234.234.234.234 -p udp --sport 27000 -m state --state ESTABLISHED -j ACCEPT

Будет ли на сервере назначения виден айпи адрес клиента?

Будет виден адрес 123.123.123.123

Будет ли весь трафик форвардится через удаленный сервер?

Только на udp порт 27000.

Увидят ли клиенты адрес сервера с виндой, и смогут ли это сделать?

Возможно, смогут увидеть, если сделают трассировку udp пакетами на порт 27000, зависит от приложения. Предпоследний хоп, во всяком случае, должны увидеть.

Deleted
()
Ответ на: комментарий от Deleted

Возможно, смогут увидеть, если сделают трассировку udp пакетами на порт 27000, зависит от приложения. Предпоследний хоп, во всяком случае, должны увидеть.

Хотя, можно запретить на машине с адресом 123.123.123.123. Если в FORWARD будут только эти два правила, и если policy для цепочки FORWARD будет DROP, то трассировку не смогут сделать.

Deleted
()
Ответ на: комментарий от Deleted

Спасибо за информацию. Задача стоит в том, чтобы просто скрыть расположение основного сервера, вот и все. Есть ли какие нибудь альтернативы, хотелось бы чтобы работа виндового сервера не отличалась от обычной.

speedy
() автор топика
Ответ на: комментарий от speedy

Если ты вынужден скрывать основной адрес - то альтернатив не вижу. Сделать, чтобы был виден адрес клиента, можно - поднять туннель/впн между виндовым и линуксовым сервером и маршрутизировать первый через второй. Но при этом может возрасти задержка, да и общая сложность больше.

Еще вариант - купить защиту от ддоса. qrator, говорят, дешевый.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.