Pravidlo na WAN portu

[carcharias]

Zdravim,
mam MK s WAN portem s verejnou IP a s LAN porty. Klasicky NAT s maskaradou. Potrebuji udelat pravidlo nebo rout ktery bude fungovat tak ze kdyz nekdo bude pristupovat na WAN z internetu tak ho MK presmeruje na jinou verejnou IP na netu.

Potrebuji to jako zalohu v pripade ze http server za LAN bude mimo provoz. Ja pak zapnu toto pravidlo ci rout a provoz ktery puvodne smeroval na ten http server budou presmerovany na jinou IP v internetu (vzdaleny zalozni server).

Zkousel jsem to pres NAT ale nejak se to nedari. Jeste me napada web-proxy ale jednoduzsi mi to prijde tim pravidlem nebo routem.

Mate nekdo osetreno ?

[H3lMuT]

dstNAT neni nic jednodussiho...

Kód: Vybrat vše

CHAIN: dstnat
DST.address=IP na wan
Protocol=TCP
DST.port=predpokladam ze www chces takze port 80
ACTION=dst-nat
To Addresses=IP kam to chces presmerovat
To ports: port na presmerovanou ip s predpokladu www takze take 80

[hapi]

až na to že to nebude fungovat

[carcharias]

Ano nefunguje. To už jsem zkoušel jako první pokus.

[H3lMuT]

ajo funguje pouze z vnitrni site..

[hapi]

musíš spolu se src-natem použít ještě dst-nat.

[carcharias]

Akorat nevim jak na ten src-nat. Dělám pokusy, zatím bez správné funkčnosti.

[hapi]

vše co odchází na tu novou cílovou IP srcnatuj na lokální IP routeru. Tím se zajistí že se paket vrátí zpět na tenhle router kde se provede zpětnej dst-nat a odešle se zpět.

Nemůžeš dělat komunikační trojúhelník. Pokud si to nakreslíš a důsledně si budeš zapisovat skutečný src/dst adresy v paketu tak ti to dojde proč to tak je. A to jak cestu paketu tam tak i zpět. Řekněme že spousta lidí dělá chybu v tom že sleduje jenom požadavky jedním směrem ale ty pakety se přece musí i vrátit ne? No a oni se právě vraceji v trojúhelníku což je špatně. Museji se vracet jenom v "odvěsnách". Komunikace musí probíhat pouze v odvěsnách a to oboustranně.