iptables: mit redirect in den Fuss geschossen

24/03/2009 - 23:48 von Bernd Hohmann | Report spam
Seufz...

iptables -t nat -A PREROUTING -p tcp --dport 80 \
-j REDIREDCT --to-port 3080

leitet alle eingehende Verbindungen für Port 80 nach 3080 um.

Das ist soweit schön weil es mir dann egal ist auf welcher der vielen
IPs der Server gerade angesprochen wird.

Hat aber den ultradoofen Mangel, dass auch Verbindungen, die auf der
Maschine selbst erzeugt werden (zb. ein WGET nach draussen) ebenfalls
auf sich selber verbogen werden und zb. der WGET dann vom eigenen Server
beantwortet wird.

Natürlich kann ich da noch ein -d $IP mit der eigenen IP einfügen, aber
wenn da mehrere IP-Aliase angeknotet werden wirds nicht mehr lustig (und
das Script dazu sollte schon hinreichend generisch gehalten werden).

Gibts da irgendeinen magischen Trick?

Bernd

Visit http://www.nixwill.de and http://www.spammichvoll.de
jean.oliver@nixwill.de & bernado.bernhardi@spammichvoll.de
 

Lesen sie die antworten

#1 Christian Garbs
25/03/2009 - 20:32 | Warnen spam
Mahlzeit!

Bernd Hohmann wrote:

iptables -t nat -A PREROUTING -p tcp --dport 80 \
-j REDIREDCT --to-port 3080

Hat aber den ultradoofen Mangel, dass auch Verbindungen, die auf der
Maschine selbst erzeugt werden (zb. ein WGET nach draussen) ebenfalls
auf sich selber verbogen werden und zb. der WGET dann vom eigenen Server
beantwortet wird.

Gibts da irgendeinen magischen Trick?



Vielleicht davor eine Regel mit "wenn Quelle == eigener Rechner, dann
zu gar nichts" einfügen? Wobei ich jetzt nicht weiß, ob man in die
nat-Table sowas wie -j ACCEPT schreiben kann.

Gruß
Christian
Christian.Garbs.http://www.cgarbs.de
_o)
/_///
(____>

Ähnliche fragen