sslug-teknik team mailing list archive

[Robert Larsen <robert@xxxxxxxxxxxx>]

Jeppe Koefoed wrote:
> Robert Larsen skrev:
>> iptables -t nat -A PREROUTING --protocol tcp --dport 80 --destination
>> 194.255.21.129 --source 192.168.1.3 -j DNAT --to-destination
>> 127.0.0.1:8888
>> iptables -A FORWARD --protocol tcp --destination 127.0.0.1 --dport
>> 8888 -j ACCEPT
>>
>> Men det virker ikke. Det er stadig maskinen ude i verden, som bliver
>> kontaktet.
>>
>> Kan I se, hvad der er galt ?
>>   
> Du skal ihvertfald ikke benytte forward chain når det er til lokalhost.
> Så bør det være INPUT
> 
> Og så mener jeg at jeg tidligere har lavet det sådan (dog som
> transparent http proxy)
> 
> iptables -t nat -A PREROUTING --protocol tcp --dport 80 -d
> 194.255.21.129 --source 192.168.1.3 -j REDIRECT --to-port 8888
> iptables -A INPUT --protocol tcp --dport 8888 -j ACCEPT
> 
> /Jeppe
> 
> 
Den gik heller ikke. iptables brokkede sig over --to-port, som den ikke kendte til.
Jeg prøvede følgende:

iptables -t nat -A PREROUTING --protocol tcp --dport 80 --destination 194.255.21.129 --source 192.168.1.3 -j DNAT --to-destination 127.0.0.1:8888
iptables -A INPUT --protocol tcp --dport 8888 -j ACCEPT

Jeg prøvede det mod en anden maskine på nettet for at se resultatet, og nu står den bare og venter, så der kommer ikke forbindelse.
Hvis jeg forbinder direkte til gatewayen på port 8888 så får jeg godt nok forbindelse til serveren, så det er ikke fordi, den ikke svarer.

Hvis jeg sniffer på gatewayen med følgende filter:(host 194.255.21.129 and port 80) or port 8888

...kan jeg kun se TCP SYN pakker, som kommer fra 192.168.1.3 og skulle gå til 194.255.21.129. Der er intet til port 8888, og der sendes intet tilbage.