iptables - przekierowanie portu z loopback na zewnatrz

nocnyMark · Post autor: **nocnyMark** » 07 sierpnia 2012, 00:37

potrzebuje przekierowac tak pakiety, aby przekierowac ruch z 127.0.0.1:3306 na serwerze A do serwera B pod 3306

z tego do czego udalo mi sie przez caly dzien dzis dojsc to to ze interface 127.0.0.1 jest dosc szczegolnym przypadkiem ktorego ruch nie przechodzi przez PREROUTING
a wiec prosta regulka:
iptables -A PREROUTING -t nat -p tcp -d 127.0.0.1 --dport 3306 -j DNAT --to-destination x.x.x.x:3306

w takim wypadku nie dziala

wg schematu http://users.ecs.soton.ac.uk/ajf101/kptd.pdf, z tego co rozumiem, pakietow z 127.0.0.1 powinienem szukac na OUTPUT i POSTROUTING

wymyslilem ze teoretycznie wystarczylo by przekierowac pakiety z POST na PREROUTING aby je potem obrobic przy pomocy -j DNAT
to co udalo mi sie osiagnac regula:
iptables -t nat -A POSTROUTING -p tcp -d 127.0.0.1 --dport 3306 -j SNAT --to x.x.x.x:3306
(gdzie x.x.x.x adres zewnetrzy na serwerze A)
polaczenie tej reguly z regula wspomniana wczesniej na PREROUTING nie daje jednak efektu

mozecie mi jakos pomoc podpowiedziec gdzie szukac dalej rozwiazania ?

markossx · Post autor: **markossx** » 07 sierpnia 2012, 13:56

Co chcesz osiągnąć tym sposobem?

nocnyMark · Post autor: **nocnyMark** » 07 sierpnia 2012, 16:06

mam aplikacje ktora laczy sie na 127.0.0.1 3306 i nie moge jej przekonfigurowac aby laczyla sie na inny ip

stad pomysl ze zrobieniem tego na poziomie iptables

markossx · Post autor: **markossx** » 09 sierpnia 2012, 09:15

Za pomocą iptables raczej się nie da tego zrobić, nie mam czasu testować ale jedyne co przychodzi mi do głowy to za pomocą netfiltra markować pakiety na INPUT, potem szukać ich na wyjściu i maglować.
Jest fajny diagram przepływu pakietów w jądrze w linku poniżej:
http://linux-ip.net/nf/nfk-traversal.pn ... s:54,i:312

Tak czy inaczej powinieneś zapoznać się z:
1. xinetd i redirect
2. ssh tunel
3. jest jeszcze coś takiego jak mysql-proxy i ma duże możliwości jednak nie używałem i nie wiem czy akurat Twój przypadek obsłuży

nocnyMark · Post autor: **nocnyMark** » 10 sierpnia 2012, 01:07

http://www.boutell.com/rinetd/

deamon ktory w baaardzo prosty sposob pozwala na przekierowanie portow
zadzialalo od razu - polecam

markossx · Post autor: **markossx** » 10 sierpnia 2012, 20:22

Zasadniczo to samo co xinetd + opcja redirect.