Hairpinning no linux

Question

Hairpinning no linux

#1 resposta do (3 votos)

3

Eu tenho um roteador no qual eu instalei um sistema Linux.

Eu quero que meu roteador suporte hairpinning NAT

Existe tal recurso no Kernel Linux? Se sim como ativá-lo? Existe um patch para aplicá-lo no meu kernel para suportar hairpinning?

Explicação de hairpinning da Wikipedia:

Let us consider a private network with the following:

    Gateway address: 192.168.0.1
    Host 1: 192.168.0.5
    Host 2: 192.168.0.7

    The gateway has an external IP : 192.0.2.1
    Host 1 runs a P2P application P1 on its port 12345 which is externally mapped to 4444.
    Host 2 runs a P2P application P2 on its port 12345 which is externally mapped to 5555.

If the NAT device supports hairpinning, then P1 application can connect to the P2 application using the external endpoint 192.0.2.1:5555.
If not, the communication will not work.

kernel networking linux linux-kernel netfilter

por MOHAMED 04.11.2015 / 16:27

1 resposta

Tags kernel networking linux linux-kernel netfilter

Analisando um arquivo de texto grande e gravando em arquivos separados, a saída de cada Criando um usuário tendo apenas acesso à pasta e subpasta que está presente em outro usuário do mesmo sistema

score 3 · Answer 1

Isso é algo que iptables lida muito bem com um kernel "recente" (qualquer coisa desde 2.4 , que tenha mais de 10 anos).

O truque é fazer um "reverso natting": mapear o endereço IP de qualquer host de sua rede local que está acessando os dois servidores NATted para o IP público do seu gateway.

Algo como o seguinte (apenas que o NATing governa, sem firewall):

iptables -t nat -A PREROUTING -p tcp -m tcp  -s 192.168.0.0/24   -d 192.168.0.5  --dport 4444 -j DNAT --to-destination :12345
iptables -t nat -A POSTROUTING -o eth1  -p tcp -m tcp  -s 192.168.0.0/24   --dport 12345 -j SNAT --to-source 192.10.2.1
iptables -t nat -A PREROUTING -p tcp -m tcp  -s 192.168.0.0/24   -d 192.168.0.7  --dport 5555 -j DNAT --to-destination :12345
iptables -t nat -A POSTROUTING -o eth1  -p tcp -m tcp  -s 192.168.0.0/24   --dport 12345 -j SNAT --to-source 192.10.2.1
iptables -t nat -A PREROUTING -p tcp -m tcp   -d 192.168.0.1  --dport 4444 -j DNAT --to-destination 192.168.0.5:12345
iptables -t nat -A PREROUTING -p tcp -m tcp   -d 192.168.0.1  --dport 5555 -j DNAT --to-destination 192.168.0.7:12345
iptables -t nat -A POSTROUTING -o eth0   -j SNAT --to-source 192.168.0.1

Se você não estiver familiarizado com a arte arcaica de escrever regras de firewall, sugiro usar uma interface GUI como fwbuilder .