sslug-teknik team mailing list archive

["Jesper Lund" <jesper@xxxxxxxxxxxxxx>]

>                 pc
>                  |
>                  |
>              internet
>         -------------------
>         |                 |
>         |                 |
>       router1          router2
>     ----------       -----------
>         |                 |
>  server1 a.a.a.a   server2 b.b.b.b
>
> Jeg prøver så at få b.b.b.b til at svare når man kontaker a.a.a.a
>
> Pakkerne kommer fint over til b.b.b.b og router2 lader dem også slippe ud
> igen tilbage til "pc", men de når aldrig frem til pc ; (

Det er jo fordi at pakkerne rigtigt nok bliver sendt fra router1 til
router2, som sender dem til server b.b.b.b.

Denne svarer så tilbage til PC'en, da den source IP ikke er blevet pillet
ved. Men den kender ikke noget til det, da den jo snakker med a.a.a.a.
(Tror den).

En løsning kunne være at lave et IP alias på router2's interface der
sidder på samme netværk som router1. Dette skal så være a.a.a.a der er
aliaset, som bliver DNAT'et til b.b.b.b.

Som jeg beskrev ovenfor, kommer svar pakkerne fra b.b.b.b til PC'en jo
aldrig fordi router1, og dermed kan netfilterkoden i den router der lavede
DNAT'en jo ikke lave den automatiske SNAT.

>> >   Så på routeren der høre til det nye netværk har jeg lavet en SNAT
>> > med iptables der ser sådan her ud:
>> >
>> >   iptables -t nat -A POSTROUTING -s $NEW_IP -j SNAT --to $OLD_IP
>>
>> Det er heller ikke nødvendigt, da "reply pakkerne" fra en
>> DNAT af netfilter koden automatisk bliver SNAT'et tilbage, så
>> alt virker.
>
>   Hmm men jeg kan se at sourcen er b.b.b.b når den forlader router2

Som sagt, de kommer aldrig til router1, og bliver SNAT'et tilbage til
a.a.a.a.


//Jesper
-- 
www.ballbreaker.dk/antispam/