Safepipe router: nat_static of nat_portfw - Netwerken

dinsdag 13 juli 2004 19:53

Acties:

Topicstarter

Wat de topictitel zegt

Ik heb sinds kort een SafePipe router (een VPN oplossing ook)en die wil ik laten NAT-ten. Nu zit ik met portmappings, en in de grafische menu's kan ik een keuze maken tussen optie nat_static en nat_portfw

Bij beide opties blijven onderaan alle andere opties aan staan. Ook vind ik deze automatische voorbeeld configuratie een beetje gek.
Een source adres van 192.168.0.1 die op de externe interface naar de POP3 poort wil connecten, met als destinatino 192.168.0.2 (de router neem ik aan dan?) naar 192.168.0.3 wil. Dan het apparaat op beide poorten dezelfde IP's moeten hebben?

Even een screenshotje hier. De standaard optie van dit voorbeeld is trouwens "nat_static". In de manual wordt helaas alleen gesproken over VPN, het hele NAT gebeuren laten ze achterwege.

Het is net alsof je met IPtables in Linux werkt overigens, maar waar deze termen vandaan komen weet ik toch niet.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

donderdag 15 juli 2004 21:12

Acties:

pierre-oord

Topicstarter

En.... KICK!

edit:
Ik heb een uitgebreidere manuel gevonden op internet! Hier wordt ik iets wijzer van, maar begrijp toch even niet helemaal het verschil. Ik neem over wat er in de manuel staat, misschien kan iemand dit verder toelichten met een voorbeeldje oid?

Nat rule actions:
- nat_static - The IP address is changed (and changed back on packets going the other way) from one network to onother. Static NAT is best suited for mapping and thus concealing entire networks in preference to single IP addresses. Note tat if you map between two networks, they must have the same size, i.e. same subnet mask. If the protocol is TCP or UDP, you may specify a port number (or range) which must also be the same for the two network addresses.

- nat_portfw - Similar to static NAT in certain respects, but can only be used for mapping single IP addresses. It is particularly useful in relation to e.g. Web servers, in that the server can thus be pinged. Example: Traffic to an internal Web server with the IP address 192.168.1.10 is mapped from the alias, public IP address 198.133.17.99
As oposed to static NAT, portforwarding can also be used to map traffic on port to a different port on onother IP address. Example: Traffic to the Web server mentioned above can be forwarded from the public IP address 198.133.17.99 on port 80/http to the private IP address 192.168.1.10 on port 245, thus reserving port 80 for configuration, file upload etc. on the server. Note that for a Portforward rule the protocol must be either TCP or UDP. Accept, Deny and Reject These rules are also available with the same meaning as in the Forwarding table.

En dit stukje:

Destination rule criteria
-ip address/subnet mask-
blablabla

-port-
For TCP, UDP and ICMP (destination only), ports can be specified. Select a specific port, 'any' port or 'other'. For 'other' a singe port or a port range can be entered in the field provided by seperating the first and last port with a colon (example: 25:81).

Please note: For a nat_static action, enter the IP address (or range) that the destination IP address (or range) is mapped to. Optionally enter a port (or range) that the destination port )or range) is translated to. Specifying a NAT port requires that a destination port or port range has been specified.

-Translate to-
Only applicable for 'nat_portfw' rules. Specify the IP address and, if required, port number(s) that the matched address should be translated to.

Zo heel wat typwerkt uit een PDF dit.

Ik begrijp maar niet wat nu het verschil is tussen een nat_static een een nat_portfw. Op dit moment gebruik ik met iptables een portforwarding, ik kan dan ook andere destination ports opgeven, dus zou ik nu nat-portfw gaan gebruiken als ik iets zou moeten kiezen.

Het enige verschil lijkt dus wel of niet de port te kunnen veranderen?
Graag wat uitleg

hierbij. Overigens draaien deze machines geloof ik op Linux; eventueel kun je het misschien met zulke regels uitleggen.

Wat verder leuk zou zijn om te weten, als dat kan, is: Is dit iptables of ipchains? Je krijgt allemaal regels onder elkaar en ik vind het met die Prerouting, Forward, Postrouting, erg lijken op IPtables (hé, gisteren was er ook nog een output chain? lol? ). IPchains is niet "uit mijn tijd", dus kan ik het helaas ook niet herkennen.

edit:
en nu ik dit toch vraag:
Prerouting wordt altijd ook voor INPUT uitgevoerd toch? (Voor het routen, dus ook voor input?)

[ Voor 105% gewijzigd door pierre-oord op 16-07-2004 13:03 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

zaterdag 17 juli 2004 13:34

Acties: