Recent changes

This is an old revision of the document!

03. Configurarea incorectă a translatării

Intrați pe stația red și executați comanda ping către stația green: 

root@red:~# ping green
PING green (192.168.2.2) 56(84) bytes of data.
64 bytes from green (192.168.2.2): icmp_req=1 ttl=63 time=0.155 ms
64 bytes from green (192.168.2.2): icmp_req=2 ttl=63 time=0.086 ms

În alt terminat, intrați pe stația green și rulați comanda tcpdump: 

root@host:~# go green
[...]
root@green:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:18:54.535064 IP host > green: ICMP echo request, id 633, seq 17, length 64
11:18:54.535092 IP green > host: ICMP echo reply, id 633, seq 17, length 64

Observați că sursa pachetelor de tip ICMP echo request este stația host, nu stația red. Acest lucru se întâmplă din cauză că atunci când am activat NAT-ul nu am specificat pentru ce tip de trafic să aplice politica de translatare. Astfel stația host aplică politica de NAT pentru tot traficul care o tranzitează.

Vom șterge vechea regulă de NAT de pe stația host: 

root@host:~# iptables -t nat -D POSTROUTING -j MASQUERADE

Verifică că nu mai există: 

root@host:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 1 packets, 328 bytes)
 pkts bytes target     prot opt in     out     source               destination

Adăugăm din nou regula de NAT, dar de data aceasta vom specifica să aplice politica de NAT doar pachetelor ce se duc spre Internet, deci ce ies prin interfața eth0 a stației host: 

root@host:~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Verificați că regula a fost inserată: 

root@host:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Observați că apare interfața eth0 în coloana out. Înainte apărea caracterul * ce înseamnă orice.

Repetați testul de mai sus și arătați că pachetele trimise de la red către green au adresele IP sursă/destinație nemodificate.

Laboratorul 9

rl/labs/09/contents/03.1384687647.txt.gz · Last modified: 2013/11/17 13:27 by mihai.carabas
Old revisions
Media ManagerBack to top
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0