Hallo liebe Expertinnen und Experten.
Folgende Frage beschäftigt mich bezüglich IP- bzw. Port-Übersetzungen:
Ich weiß, dass es z.B. in Routern NAT gibt, z.B. um <externe-IP:443> zu <interne-IP:443> oder <externe-IP:8080> zu <interne-IP:80> zu übersetzen.
Ist es möglich, durch einen Dienst/Dämon (z.B. mittels Internet-Root-Server) die (hier erfundene) IP 156.128.132.100 und z.B. Port 443 (156.128.132.100:443) auf sagen wir 103.95.199.67:10443 in bidirektionaler Richtung die Datenpakete transparent hin- und her übersetzen zu lassen? Es sollen "lediglich" die IP-Adressen _UND_ zeitgleich der Port ausgetauscht, die Datenpakete aber in ihren Informationen ansonsten möglichst nicht tangiert werden.
Im Router würden dann die von extern eintreffenden, umgelenkten Datenpakete 103.95.199.67:10443 auf 192.168.10.100:443 geNATet. Die Antworten gehen dann wieder ebenso geNATet retour.
Hintergrund ist der geplante Betrieb von _zwei_ unabhängigen Exchangeservern an _einem_ DSL-Anschluss (T-Business), wo leider durch die T-Com nur eine einzige feste IP vergeben wird. Selbst bei VDSL gibt es derzeit offenbar nur _eine_ feste IP, was den Betrieb von zwei unabhängigen Exchangeservern verhindert.
Der Übersetzungsdienst würde ermöglichen, dass Smartphones am zweiten Exchange angebunden werden könnten.
Hat das schon mal jemand gemacht?
Herzliche Grüße
Jörg
Bidirektionale IP- UND Port-Translation via Dämon?
-
DebianNutzer
- Beiträge: 5
- Registriert: 21.06.2013 09:44:48
Re: Bidirektionale IP- UND Port-Translation via Dämon?
Naja, klar kannst du NAT machen, das in deinem Fall willst du halt auf'm Rootie DNAT (plus MASQUERADE, was vermutlich noetig sein wird) machen und auf dem Router mit dem zweiten Exchange dran ein SNAT. Oder du baust einen VPN-Tunnel auf und kannst ganz normal routen.
Gruss Cae
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
-
DebianNutzer
- Beiträge: 5
- Registriert: 21.06.2013 09:44:48
Re: Bidirektionale IP- UND Port-Translation via Dämon?
Hallo Cae,
danke für die Antwort
OK, dann werde ich mich mit Statischem NAT (http://www.itwissen.info/definition/lex ... -SNAT.html) mal auseinandersetzen. Denn der DSL hat eine feste IP, keine dynamische IP.
D.h. das NAT-Routing des Smartphone (Exchangeabfrage) via Internet-Root-Server 156.128.132.100:443 an DSL-Router mit fester IP 103.95.199.67:10443 an Exchange-Server (192.168.10.100:443) hin und zurück wäre ja fix und nicht dynamisch. Korrekt?
Da ich lernender, ambitionierter Anfänger/Fortgeschrittener bin, wie müsste ich die Befehlssequenzen denn konkret im "Rooti" (schönes Wort) aufbauen. Hast Du da bitte noch nen Tipp für mich?
Viele Grüße
Jörg
danke für die Antwort
OK, dann werde ich mich mit Statischem NAT (http://www.itwissen.info/definition/lex ... -SNAT.html) mal auseinandersetzen. Denn der DSL hat eine feste IP, keine dynamische IP.
D.h. das NAT-Routing des Smartphone (Exchangeabfrage) via Internet-Root-Server 156.128.132.100:443 an DSL-Router mit fester IP 103.95.199.67:10443 an Exchange-Server (192.168.10.100:443) hin und zurück wäre ja fix und nicht dynamisch. Korrekt?
Da ich lernender, ambitionierter Anfänger/Fortgeschrittener bin, wie müsste ich die Befehlssequenzen denn konkret im "Rooti" (schönes Wort) aufbauen. Hast Du da bitte noch nen Tipp für mich?
Viele Grüße
Jörg
Re: Bidirektionale IP- UND Port-Translation via Dämon?
Mit SNAT und DNAT meinte ich eher source- und destination NAT, entsprechend dem Slang aus [1]iptables(8)[/tt] [1]. Im Grunde das, was ich schon mal beschrieben hatte [2]. Ein Testaufbau koennte so aehnlich aussehen:Wobei die letzte Zeile eine stinknormale Portweiterleitung ist, die auch so Billig-Routerchen in ihrer GUI koennen. {dsl-ip}, {rootie-ip} und {exchange-2-ip} sind die (oeffentlichen) IP-Adressen der entsprechenden Systeme. Das Ganze soll wie folgt funktionieren:Der Quellport (SPT, source port) wird vom Handy und beim MASQUERADE ausgewuerfelt und spielt keine Rolle.
Falls sich der Exchange darauf verlaesst, die korrekten Quell-IPs der Systeme zu kennen, wird das beschriebene Verfahren nicht gehen; dann musst du auf ein VPN ausweichen.
Gruss Cae
[1] http://manpages.debian.net/cgi-bin/man. ... &locale=en
[2] viewtopic.php?p=936171#p936171
Code: Alles auswählen
rootie# iptables -t nat -I PREROUTING -p tcp --dport 443 -j DNAT --to-destination {dsl-ip}:10443
rootie# iptables -t nat -A POSTROUTING -d {dsl-ip} -p tcp --dport 10443 -j MASQUERADE
dsl# iptables -t nat -I PREROUTING -s {rootie-ip} -p tcp --dport 10443 -j DNAT --to-destination {exchange-2-ip}:443Code: Alles auswählen
DST DPT SRC SPT Kommentar
rootie 443 Handy *
... Internetz
dsl 10443 Handy * nach der DNAT-Regel
dsl 10443 rootie * nach der MASQ-Regel
... Internetz
dsl 10443 rootie *
exchange-2 443 rootie * nach der DNAT-RegelFalls sich der Exchange darauf verlaesst, die korrekten Quell-IPs der Systeme zu kennen, wird das beschriebene Verfahren nicht gehen; dann musst du auf ein VPN ausweichen.
Gruss Cae
[1] http://manpages.debian.net/cgi-bin/man. ... &locale=en
[2] viewtopic.php?p=936171#p936171
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
-
DebianNutzer
- Beiträge: 5
- Registriert: 21.06.2013 09:44:48
Re: Bidirektionale IP- UND Port-Translation via Dämon?
Hi Cae.
Super!! Danke Dir!
Da werde ich mich jetzt mal ausgiebig drin vertiefen, damit ich die Befehle und deren Logik soweit auch verstehe.
Vielen Dank und Dir ein schönes Loch im Hemde, äh Wochenende
LG
Jörg
Super!! Danke Dir!
Da werde ich mich jetzt mal ausgiebig drin vertiefen, damit ich die Befehle und deren Logik soweit auch verstehe.
Vielen Dank und Dir ein schönes Loch im Hemde, äh Wochenende
LG
Jörg