আইপিটিবেলে ডিএনএটি এবং পুনর্নির্মাণের মধ্যে পার্থক্য

14

ঠিক আছে, এটি হতে পারে কারণ আমি ঘন বা সম্ভবত সঠিক উত্সটি খুঁজে পাচ্ছি না, তবে কেন এই আইপিটিবেলসের একটি সেটআপ অপরের চেয়ে ভাল হবে তা আমি বুঝতে পারি না।

এখানে আমার সেটআপ:

আমার কাছে একটি বাক্স রয়েছে যা স্বচ্ছ প্রক্সি এবং রাউটার বা সাজানোর হিসাবে পরিবেশন করছে। এটিতে এটির দুটি ইন্টারফেস রয়েছে, ETH0 এবং ETH1 এবং নিম্নলিখিত ঠিকানা স্কিম:

ETH0 = DHCP ETH1 = 192.168.5.1/24 ল্যানের পিছনে থাকা ক্লায়েন্টদের জন্য 192.168.5.0/24 নেটওয়ার্কের জন্য DHCP পরিবেশন করছে

আমি প্রাইভোক্সি ইনস্টল করেছি এবং স্বচ্ছ প্রক্সি হিসাবে 8080 বন্দরে শুনছি। আমি এই সেটআপটি দিয়ে যা সম্পাদন করছি তা হ'ল এই বাক্সটি ন্যূনতম কনফিগারেশন এবং প্রক্সিটিতে সংযুক্ত ক্লায়েন্টগুলির সাথে একটি বিদ্যমান নেটওয়ার্কে ফেলে দিতে সক্ষম।

এখানে আমার আসল আইপিটিবেলস ফাইল

*nat
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
COMMIT

এই কনফিগারেশনটি সূক্ষ্মভাবে কাজ করে এবং ট্রাফিক ইস্যু ছাড়াই পিছন দিকে প্রবাহিত হয়। আমি প্রাইভোক্সির লগফাইলে প্রাথমিক গ্রাহকদের আইপি ঠিকানা পেয়েছি এবং জীবন ভাল।

আমার বিভ্রান্তি এলো যখন আমি অন্য ব্যক্তির কনফিগারেশনগুলি দেখতে শুরু করি এবং দেখতে পাচ্ছি যে তারা রেডিরেক্টের পরিবর্তে ডিএনএটি ব্যবহার করছে এবং আমি একে অপরের উপরের নীচের অংশটি বোঝার চেষ্টা করছি। এখানে একটি নমুনা কনফিগারেশন রয়েছে:

*nat
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.5.1:8080
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
COMMIT

আবার এই কনফিগারেশনটি খুব কার্যকর হয় এবং লগিং দৃষ্টিকোণ থেকে আমার যা যা প্রয়োজন তা দেয় ...

অন্যটি থেকে কোনটি সঠিক, বা হতে পারে আরও সঠিক?

এ পর্যন্ত পড়তে সময় দেওয়ার জন্য ধন্যবাদ ...

proxy  iptables  routing 
QWade
সূত্র

উত্তর:

14

REDIRECTনিজেই মেশিনে প্রেরণের জন্য গন্তব্য আইপি ঠিকানা পরিবর্তন করে। অন্য কথায়, স্থানীয়ভাবে উত্পন্ন প্যাকেটগুলি 127.0.0.1 ঠিকানায় ম্যাপ করা হয়। এটি স্থানীয় প্যাকেটগুলি পুনর্নির্দেশের জন্য। আপনি যদি কেবলমাত্র স্থানীয় মেশিনে পরিষেবাগুলির মধ্যে ট্র্যাফিক পুনঃনির্দেশ করতে চান তবে এটি একটি ভাল পছন্দ হবে।

DNATপ্রকৃত নেটওয়ার্ক ঠিকানা অনুবাদ । আপনি যদি স্থানীয় সিস্টেমের বাইরে প্যাকেটগুলি গন্তব্য পরিবর্তন করতে চান তবে এটি দুটির চেয়ে ভাল পছন্দ, এটি কার্যকর REDIRECTহবে না।

ওয়ার্নার
সূত্র
ঠিক আছে, তাই যদি প্রক্সিটির পিছনে আমার কাছে ক্লায়েন্ট বসে থাকে, তবে 192.168.5.234 এ বলুন এবং আমি 192.168.5.1 তে প্রক্সিটির মাধ্যমে এর HTTP অনুরোধগুলিকে "প্রক্রিয়া" করতে চাই, আপনি প্রস্তাব দিচ্ছেন যে আমার 801 ট্রাফিকের বাইরের ট্রাফিকটি 192.168 এ DNAT করা উচিত? প্রক্সিটিতে .5.1: 8080। আমি এটি কিনতে পারি, তবে কেন ???? প্রক্সিটির ETH0 ইন্টারনেটে ডিফল্ট গেটওয়ে দিয়ে বেরিয়ে যাওয়ার সাথে সাথে কীভাবে ট্রাফিক পরিচালনা করা হয় তার সাথে এটি করার কিছু? আমাকে এটি
ছোঁড়াতে
2
প্যাকেটটি ফায়ারওয়ালের মধ্য দিয়ে যাওয়ার সাথে সাথে ডিএনএটি ঠিকানাটি পরিবর্তন করে যাতে এটি পছন্দসই হোস্টে পৌঁছে যায় এবং বিপরীতে ফায়ারওয়াল থেকে আসে বলে মনে হয়। ডিএনএটি প্রায় বাহ্যিক ট্র্যাফিকের ক্ষেত্রে কখনই প্রযোজ্য না, যা ম্যাসকোয়াডে বিধি দ্বারা পরিচালিত হয়। এটি প্রাইভপ্রক্সি অন্য হোস্টে ছিল, তবে ডিএনএটি উপযুক্ত হবে, সেই হোস্টের জন্য উপযুক্ত ব্যতিক্রম।
বিলথোর
বিল, আপনাকে ধন্যবাদ। এটিই আমার সরীসৃপীয় মস্তিষ্কটি যাচ্ছিল তবে যাচাইকরণের জন্য এটি সর্বদা চমৎকার nice সুতরাং যদি আমি একটি প্যাকেট জন্য পূর্বনির্দিষ্ট পাঠাতে google.com এ 192.168.5.234 থেকে, আমি উচিত "পুনর্নির্দেশ" যে প্যাকেট বন্দর 8080 প্রক্সি এবং এটি হিসাবে 192.168.5.1 (প্রক্সি উপর, eth1) তার ডিফল্ট GW রেখে গেছে এবং privoxy করুক না বাকিটা. এর কারণ হ'ল প্রাইভোক্সিটি 192.168.5.1 এ থাকে এবং অন্য হোস্টে থাকে না। আমি কি এমন কিছু ধূমপান করছি যা আমার উচিত নয়?
কিউভেড
9

REDIRECTওয়ার্নার @ এর উত্তর অনুসারে মেশিনে নিজেই পাঠাতে গন্তব্য আইপি ঠিকানাটিকে পরিবর্তন করে। তবে আমি বলব যে উত্তরটি সম্পূর্ণ সঠিক নয়, বা কিছুটা বিভ্রান্তিকর।

REDIRECTস্থানীয় প্যাকেটগুলি পুনর্নির্দেশের জন্য নয়। এটি সত্যই DNATযেখানে ব্যবহারের জন্য গন্তব্য আইপি ঠিকানা অন্তর্নিহিত, 127.0.0.1 যদি এটি কোনও স্থানীয় প্যাকেট বা মেশিন ইন্টারফেসের আইপি ঠিকানা অন্যথায়, অপের ক্ষেত্রে 192.168.5.1।

সুতরাং এই প্রশ্নে, চূড়ান্ত গন্তব্য কি তা বিবেচনা না করেই প্যাকেটগুলি প্রথমে প্রক্সিটিতে পৌঁছানো উচিত, তাই REDIRECTপুরোপুরি উপযুক্ত।

যেহেতু আপনার সাথে REDIRECTআইপি ঠিকানা নির্দিষ্ট করার দরকার নেই, এটি ঠিক সঠিকভাবে নেবে, এর কিছু সুবিধা রয়েছে DNAT:

  • যদি কোনও কারণে মেশিনের আইপি ঠিকানা পরিবর্তন হয় তবে আপনার নিয়মগুলি সংশোধন করার দরকার নেই এবং বিশেষত DNATডিএইচসিপি নিয়ন্ত্রিত ইন্টারফেসগুলির জন্য কাজ করবে না।

  • নির্দিষ্ট আইপি অ্যাড্রেসের কারণে আলাদা আলাদা সামান্য সংস্করণ না রেখে আপনি বিভিন্ন সিস্টেমে (উদাহরণস্বরূপ কয়েকটি প্রক্সি উদাহরণ) একই নিয়ম লিখতে এবং বজায় রাখতে পারেন।

জুলিও ডেজ
সূত্র
একরকম ছিনতাই / মাস্ক্রেডের মতো।
জিচাও
@ হ্যাড, আমি শুনলাম রেডিরেক্টটি ডিএনএটি-র একটি বিশেষ ঘটনা, তবে আমি রেডিরেক্ট ব্যবহার করি এবং টিওআর একটি প্যাকেটের আসল গন্তব্য জানে তাই আমি ড্যাড্রির এবং ডিপোর্ট এবং আইপিডিআর এবং tcphdr কাঠামো অক্ষত রয়েছে বলে শেষ করি এবং প্যাকেটটি কেবলমাত্র রেডরেট গন্তব্যে ফিরে এসেছে কার্নেল। ডিএনএটি আসলে কাঠামোগত পরিবর্তন করবে। আমি কি ভূল?
পলিতা
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.