[fli4l] Portweiterleitung an Server mit fremden Standardgateway

[Kay Martinen]

Am 03.04.2016 um 16:54 schrieb Gotthard Anger:
> Hallo,
> 
> habe hier einen Fli mit Version 3.10.5. Der soll einen http-Server
> verfügbar machen.

Auf <was> läuft der http-server? Ein Eisfair oder irgendein linux-system?

> Das Dumme ist nur, dass dieser Fli _nicht_ das
> Standardgateway für den betreffenen Server ist.

> Die Standardregel gemäß Doku
> PF_PREROUTING_1='prot:tcp dynamic:81 DNAT:<ziel-ip>'
> greift IMHO also nur zur Hälfte, da der Server die Antwortpakete zum
> Standardgateway schickt.

Tut er das? Hast du es schon probiert?

> Muss ich noch eine Postrouting-Regel schreiben? Wenn ja, wie werden die
> beiden Regeln miteinander verknüpft?

Du must meines Erachtens nur sicherstellen das der http-server die
pakete auch an den host sendet von dem sie an ihn geschickt werden. Wenn
der FLI und dein httpd im gleichen LAN-Segment stecken sollte das
automatisch passieren weil sie gegenseitig über ihre MAC angesprochen
werden können. Wenn doch nicht oder noch ein anderes gateway dazwischen
stecken sollte dann musst du eine zusätzliche route auf dem http-server
eintragen die auf den FLI zeigt von dem die pakete an ihn gesendet werden.

Ein Beispiel:

defaultroute sei 192.168.1.1
dein extra FLI sei 192.168.1.10
Das LAN dahinter (aus dem die anfragen kämen) sei 192.168.10.0/24

dann brauchst du auf dem http-server

route add -net 192.168.10.0/24 gw 192.168.1.10

Wobei ich jetzt das NAT aussen vor liess, denn dadurch wird IMHO die
Adresse von außen umgeschrieben so das die pakete von der internen
adresse deines FLI kommen sollten. In dem fall und wenn beide im
gleichen LAN sind, müsste eigentlich NIX weiter erforderlich sein.

Kay

-- 
https://www.linuxcounter.net/cert/224140.png