Mám problém. Používám WRT-311 v režimu NAT router, nastaven mám forward portů v rozsahu 1 - 65535, konečně jsem se dočkal firmwaru, který umožňuje vypnout SNAT (při zapnutém mi to přepisovalo všechny IP adresy příchozích paketů na IP routeru tj. 192.168.1.1 a vypnutí SNAT to mělo údajně zastavit). Kámen úrazu je že pokud teď nastavím port forward bez SNAT tak mi firewall nenechá nikoho připojit (pokud nastavim bez SNAT TCP tak se nic neděje, ale pokud zakážu SNAT u UDP tak služba nechodí). Pokud ale u UDP nechám SNAT povolen jsem zas tam kde předtím - služby fungují ale v logách mám všude místo IP adresy uživatele IP adresu routeru 192.168.1.1.. nevíte někdo v čem je problém popř. jak dostanu z paketů jejich skutečnou IP adresu (výrobce routeru mi tvrdí že to jde i bez toho SNAT pravidla..)

Omlouvám se že to vylepuju tady, ale na ábíčku mi nikdo nic neporadil (zatím)--

Chapu to spravne, ze NATujete a forwardujete plny rozsah portu najednou? Trochu se divim, ze to funguje ...

tohle mi doporučil výrobce firmwaru.. umožnil vypnout SNAT jenom u ručního port forwardu.. (u DMZ to nejde)..

pokud vypnu SNAT u TCP protokolu tak vše funguje jenže v access logu na apachi mám stejně jenom IP adresy toho routeru.. když vypnu SNAT u UDP tak by to mělo funguvat ale nefunguje.. server normálně pingnu ale když se připojím např. přes telnet k portu 80 tak se nepřípojí.. (hodí po čase timeout)..

Zkuste si spustit tcpdump (mimochodem NAT a vypinani SNATu vam nebude fungovat), uvidite, kde je problem -- neni to treba tak, ze packety prochazi jenom jednim smerem?

No z toho výstupu tcpdump jsem trochu jalovej, ale všechna komunikace je jenom na úrovni routeru.. žádná jiná IP adresa kromě 192.168.1.1 (router), 192.168.1.50 (server) a 192.168.1.52 (notebook nikde nefiguruje) zkoušel jsem to s vypnutým SNAT a připojit se k routeru zvenčí.. samozřejmě to něšlo..

BTW výrobce mi tvrdí že je možné zjistit z paketu zdrojovou IP i přes ten NAT. Ale nevím jak na to.. potřebuju, aby mi hlavně fungovali pořádně logy na apachi..

To je tim, ze tcpdump umi poslouchat jenom na jednom rozhrani, volba -i, pokud mnu zadne nedate, pouzije prvni nakonfigurovane, tj. ve vasem pripade eth0.

Zjistit zdrojovou IP i pres NAT jde v pripade, ze ta IP je nasana take nekde jinde nez iphdr.saddr, ktere je prepisovano tim NATem, typicky nekde v aplikacnim protokolu (ICQ, nejruznejsi P2P, aktivni FTP...). Poznamenejme, ze to tedy v obecnem pripade nelze. Nicmene analyzou odchazejicich paketu se da pomerne spolehlive odhadnout, jestli IP patri jednomu pocitaci, nebo se za ni skryva NATovana sit.

Trochu jsem dělal pokusy.. ten router umožňuje zakázat přepis SNAT zvlášť pro TCP i pro UDP a pro jednotlivé porty pod těmito protokoly. Když zakážu přepis SNAT u TCP tak vše funguje tak jak má, pokud to udělám u UDP tak nefunguje nic. Problém je že pokud zakážu přepis SNAT jen u TCP tak si ničím nepomůžu, protože v logách mám pořád místo IP adresy odesílatele požadavku IP adresu routeru..
Zkoušel jsem kdysi jiný router a tam bylo nastavení port forwardingu bez nějakých zákazů SNAT a v logách jsem měl vždy IP adresu odesílatele požadavku..

Jinak pokud přepis SNAT zakážu tak je komunikace obousměrná.. prblém je ve chvíli, kdy se chce někdo nový ke službě připojit. Pokud je připojen ve chvíli kdy ten přepis SNAT zakážu tak s ním běží komunikace obousměrně vesele dál..

Nešlo by i se zapnutým přepisem SNAT na routeru nějak na serveru vytáhnout z těch paketů zdrojovou IP adresu??.. co třeba nastavení firewalu, nebo síťové karty?? Ještě podotýkám že distro je Mandriva 2006

... myslim, ze by bolo dobre si uvedomit ako veci pracuju a potom klast poziadavky, ked nieco chces neznamena to ze sa to da aj spravit. Hore ti uz bolo povedane, ze router prepisuje zdrojovu IP adresu v hlavicke a to preto, aby ten paket bol v lokalnej sieti dajme tomu pouzitelny, zase to vychadza z toho ako TCP/IP funguje. (Iny pripad teda je ked pakety maju tuto informaciu aj niekde inde, ale to je par protokolov.) Takze podla mna chces spravit nerealnu vec s tym tvojim HW.

Problém vyřešen.. nastavil jsem ten router jenom jako bridge.. a IP s DMZ nakonfiguroval na routeru o uroveň výše.. BTW.. jak je tedy možné, že ADSL modem - router, ke kterému mám ten druhý připojený mi ty zdrojové IP nepřepisuje?? (viz. stats.kuchynak.net)... ADSL modem - router je SpeedTouch510i, druhý router (ten, který měl problémy) je WRT-311.