[Sysadmins] bridge + routing (nat)

[Шенцев Алексей Владимирович]

В сообщении от Вторник 20 Декабрь 2005 13:53 Anatoliy Lisjutin написал(a):
> Так и надо. И роутить серверы как и LAN, только в обратную сторону. Все
> сервисы будут на роутере для внешних.
> Хотя так сразу не сделал, и на каждом Firewall поднимал. Так исторически
> вышло.

По моему это должно быть так:

iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT \ 
--to-destination $HTTP_IP
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT \
--to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
--to-destination $HTTP_IP

Где: $INET_IP - ip-адрес в интернете файервола;
$HTTP_IP - ip-адрес веб сервера за файерволом, необязательно из класса C;
$LAN_IP -  ip-адрес файервола из той же подсети, что и $HTTP_IP. 
Если я ошибся, то поправьте, знатоки iptables ... ;)
-- 
С уважением, Шенцев Алексей (AShen)