Tilannehan on hiukan yksinkertaistaen seuraava: otettaessa yhteys kutsuvalta koneelta osoitteeseen domain.com, käy asiakaslaite ensin kysymässä omalta nimipalvelimeltaan, missä IP-osoitteessa domain.com mahtaa olla. Vastauksen saatuaan asiakaslaite lähettää pyynnön halutulle palvelulle saamaansa IP-osoitteeseen.
Jos nyt olisi sellainen tilanne, että tuolla palomuuri-Debianillasi olisi IP-osoite 1.2.3.4, johon viittaisi useampi eri DNS-nimi, mutta iptablesin pitäisi ohjata liikenne sisäverkkoon ainoastaan silloin, kun kutsussa on viittaus domain.com, niin aika hankalaksi menee. Domain-nimihän ei ole mukana kuin korkeintaan IP-paketin payloadissa, kun taas iptables lähtökohtaisesti tarkkailee aivan eri tason tietoja, lähinnä lähettäjän ja vastaanottajan IP-osoitteita ja portteja. Iptablesissa kyllä on sellaistakin toiminnallisuutta, jolla payloadiin pääsee käsiksi, mutta toteutus olisi vähintäänkin erikoinen.
Luultavasti tarpeesi on kuitenkin toteutettavissa muulla tavoin. Jos haluat esim. tarjota sisäverkossa olevalta web-palvelimelta eri sisältöä sen mukaan, millä palvelinnimellä palvelinta kutsutaan, se onnistuu Apachen asetuksilla (virtual hosteilla) varsin triviaalisti. Jos taas haluat vain ohjata kaiken Debian-purkille tulevan liikenteen sisäverkkoon domainista riippumatta, sekin onnistuu helposti. Vähän tarkempi kuvaus tarpeista olisi kuitenkin tarpeen.
Aihe: Iptables domainin ohjaus sisäverkkoon? (Luettu 1621 kertaa)
