Iptables – něco jako proxy?

16. 4. 2015 09:35:06

Zdravím,

poradil by mi někdo, jestli lze použít iptables k nakonfigurování FW s jednou síťovkou a jednou IP adresou tak, aby když na server přijde paket na určitý port, tak by jej "odrazil" na jiný server na nějaký jiný port a ještě zamaskoval zdrojovou IP za sebe sama? Něco jako proxy bez proxy.

Nejsem zběhlý síťař a opočítal jsem, že mi stačí na všech řetězcích mít default politiku ACCEPT + do NAT doplnit asi toto:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -i eth0 -j DNAT --to 10.50.30.27:80

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

... ale nefunguje.

Dodám, že se jedná o CentOS 6 a nijak nemohu konfigurovat další věci. Tzn. mam jen server na který nemůžu nic nainstalovat, ale mohu mu měnit FW přes iptables. Tento server je dostupný odevšad na portu 8080 a já ale potřebuji odevšad na jiný server na port 80 a ten je dostupný ale jen z toho, na kterém mohu měnit ten FW.

Díky.

16. 4. 2015 09:35:06

https://webtrh.cz/diskuse/iptables-neco-jako-proxy/#reply1106866

Václav Dušek

(77 hodnocení)

16. 4. 2015 10:04:42

Apache a mod_proxy?

16. 4. 2015 10:04:42

https://webtrh.cz/diskuse/iptables-neco-jako-proxy/#reply1106865

horonet

16. 4. 2015 10:39:53

Napsal vdusek;1187016
Apache a mod_proxy?

" ... Tzn. mam jen server na který nemůžu nic nainstalovat ..."

---------- Příspěvek doplněn 16.04.2015 v 10:44 ----------

Tak jsem zjistil, že to nakonec funguje. Ale jen napůl. Cílový server vrací jen něco (např. statickou uvítaví stránku apache).

Cokoli složitějšího už ne (např. URL s nějakými get/post parametry už ne). Jdu pátrat dál. Ať žije tcpdump. :)

16. 4. 2015 10:39:53

https://webtrh.cz/diskuse/iptables-neco-jako-proxy/#reply1106864

Martin

16. 4. 2015 10:47:23

pokuď jsou to jediná pravidla v iptables, tak to máš správně, před nedávnem jsem to samé konfiguroval. Na 99% je problém v tom, že nemáš zapnutý ip_forward, což lze udělat i za běhu a je nutné přidat pravidlo i do /etc/sysctl.conf, aby to bylo po restartu perzistentní. V případě problémů PM.

16. 4. 2015 10:47:23

https://webtrh.cz/diskuse/iptables-neco-jako-proxy/#reply1106863

horonet

16. 4. 2015 10:53:06

ipforward mám. to bylo první na co jsem si vzpomněl, když to nešlo, i když jsem původně mylně předpokládal (že jelikož je vše na jednom NIC), tak potřeba neni. máš pravdu, že to bude asi správně (statický data to vrací) a problém budě nekde jinde. obávám se, že aplikace na které to zkouším předpokládá asi v URL správný název serveru na kterém běží a ne to co já podstrkávám. již jsem kontaktoval jejícho správce a uvidíme.

každopádně díky za potvrzení.

16. 4. 2015 10:53:06

https://webtrh.cz/diskuse/iptables-neco-jako-proxy/#reply1106862

Pro odpověď se přihlašte.

Přihlásit