LINUX.ORG.RU
ФорумAdmin

iptables, как перенаправить траффик с одного ip:порта, на другой ip:порт внутри локальной сети

 


0

2

Доброго времени суток.

Собственнно сабж. Имеется роутер и встал вопрос, как на нём перенаправить через iptables траффик с одного ip:порта (192.168.1.22:4040), на другой ip:порт (192.168.1.33:2030) внутри локальной сети ? перебровал пачку вариантов, в частности

iptables -t nat -I PREROUTING -p tcp -d 192.168.1.22 --dport 4040 -j DNAT --to-destination 192.168.1.33:2030
но всё бестолку

Если обращаются из той же локальной сети, и если у роутера адрес не 192.168.1.22, то на роутере не получится ничего сделать. Если же 192.168.1.22 - это роутер, то добавление

iptables -t nat -A POSTROUTING -d 192.168.1.33 -p tcp --dport 2030 -j SNAT --to 192.168.1.22
должно решить проблему.

anonymous
()
Ответ на: комментарий от anonymous

Нет, роутер тут никак не учавствует, подразумевался редирект траффика с машины А на машину B, сквозь роутер C, т.е. ничего не получится сделать ?

Blacksmith
() автор топика
Ответ на: комментарий от Blacksmith

Посредством роутера - ничего.

anonymous
()
Ответ на: комментарий от Blacksmith

Каким-либо образом править таблицу маршрутизации на клиентах, чтоб они не видели соседей, а только роутер. Добавить некую хитрую запись с низкой метрикой, чтоб перекрывала дефолт (например).

areisp
()
Ответ на: комментарий от generator

Посредством роутера - ничего

я уже начал догадываться т.к. вагон и маленькая тележка вариантов не прокатили :(

Напиши подробнее, у кого какие адреса. И какие сети заодно.

A - 192.168.1.22 B - 192.168.1.33 C (роутер) - 192.168.1.1 подсеть одна - 192.168.1.0/24

Blacksmith
() автор топика
Ответ на: комментарий от areisp

Каким-либо образом править таблицу маршрутизации на клиентах, чтоб они не видели соседей, а только роутер . Добавить некую хитрую запись с низкой метрикой, чтоб перекрывала дефолт (например).

это можно, но я хотел избежать возни с каждой отдельной машиной (2 только для примера), но если нельзя на роутере этого сделать, то придётся ...

Blacksmith
() автор топика

Зачем? Какая задача решается?

zolden ★★★★★
()
Ответ на: комментарий от Blacksmith

я хотел избежать возни с каждой отдельной машиной

classless route в DHCP. Подхватывается практически всем

Pinkbyte ★★★★★
()
Ответ на: комментарий от Blacksmith

SNAT добавь на роутере. И запросы от 192.168.1.22 на 192.168.1.33, будут редиректиться на 192.168.1.1. source у них станет 192.168.1.33.

Кстати, зачем тебе это?

generator ★★★
()

1. ip forward ipv4 включен?по sysctl. Без него не заработает.
2. Делай и DNAT и SNAT.
3. Можешь еще замаскардить.

ring0kill
()
Ответ на: комментарий от generator

потому что линк-локал. 22 и 33 в одной подсети, любое взаимодействие будет без участия роутера.

Единственное что можно сделать на роутере — ARP Poisoning и потом уже перенаправлять,но это уже наркомания какая-то да и гарантии нет.

greek_31 ★★
()
Последнее исправление: greek_31 (всего исправлений: 2)
Ответ на: комментарий от greek_31

Да, ты прав. Я не распарсил сначала сообщение. Подумал, что роутер это 22.

Но тогда мне вообще непонятно, что хочет ТС..

generator ★★★
()
Ответ на: комментарий от generator

Кстати, зачем тебе это?

паранойя, хотел сделать перенаправление для определённых ip/портов/маков (думал проканает как в случае с redirect), дабы больно умные личности лезя на известные порты обломались, но как уже выше - обломался я :D так что буду на каждой машине отдельно делать

Blacksmith
() автор топика
Ответ на: комментарий от Blacksmith

так что буду на каждой машине отдельно делать

Полумера. В свитче каждый компьютер засунуть в отдельный VLAN (или по группам), и на роутере уже разруливать транк.

edigaryev ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.