DNAT con Iptables
nicola.gatta a yoda.ing.unibs.it
nicola.gatta a yoda.ing.unibs.it
Ven 18 Nov 2005 18:17:27 UTC
On Fri, Nov 18, 2005 at 06:59:24PM +0100, Alexander Fortin wrote:
>
> > PS: ma la macchina A, la macchina B e la macchina da cui fai le prove
> > sono sulla stessa rete?
>
> Sì.
L'inghippo sta proprio qui, IMHO.
Il fatto che le macchine siano sulla stessa rete ti frega.
Infatti il client che si connette ad A, ma viene rediretto a B
riceve la risposta dei pacchetti direttamente da B.
Lo stack TCP del client si ritrova ad aver mandato un syn alla
macchina A, ma il relativo syn+ack lo riceve dalla macchina B, e
viene, giustamente, scartato.
In altre parole devi usare sia DNAT che SNAT sulla macchina A.
In questo modo fai si' che i pacchetti, sia in andata che in ritorno
passino sempre da A.
Client ---- DNAT server-A SNAT ----> server-B
Ciao
Nicola
Maggiori informazioni sulla lista
Lug
|
