[Sysadmins] Правила на iptables для заворачивания http-трафика на прокси

Всеволод Мартыненко =?iso-8859-1?q?faktroot_=CE=C1_gmail=2Ecom?=
Вт Май 6 12:07:10 MSD 2008 

Согласно Iptables Tutorial
"*SNAT* допускается выполнять только в таблице nat, в цепочке *POSTROUTING*.
Другими словами, только здесь допускается преобразование исходящих адресов.
Если первый пакет в соединении подвергся преобразованию исходящего адреса,
то все последующие пакеты, из этого же соединения, будут преобразованы
автоматически и не пойдут через эту цепочку правил."
Попробуйте поменять таблицу.

6 мая 2008 г. 14:01 пользователь Денис Ягофаров <denyago на rambler.ru>
написал:

> Всеволод Мартыненко пишет:
>
> > А почему не SNAT? Это же запросы из внутренней сети Вы перенаправляете?
> >
> > 6 мая 2008 г. 13:38 пользователь Денис Ягофаров <denyago на rambler.ru<mailto:
> > denyago на rambler.ru>> написал:
> >
> >    Использую
> >    правила на роутере:
> >    # iptables -t nat -A PREROUTING -i 192.168.0.0/16
> >    <http://192.168.0.0/16> -p tcp --dport 80 -j DNAT --to
> >    10.3.0.5:3128 <http://10.3.0.5:3128>
> >    # iptables -t nat -A PREROUTING -i 192.168.0.0/16
> >    <http://192.168.0.0/16> -p tcp --dport 21 -j DNAT --to
> >    10.3.0.5:3128 <http://10.3.0.5:3128>
> >
> >    Что я забыл?
> >
> >  хм...
> # iptables -t nat -A PREROUTING -i 192.168.0.0/16 -p tcp --dport 21 -j
> SNAT --to 10.3.0.5:3128
> iptables: Invalid argument
>
> Согласно http://ru.wikipedia.org/wiki/Netfilter :
> *nat* — просматривает только пакеты, создающие новое соединение (согласно
> системе определения состояний). Поддерживает действия /DNAT/, /SNAT/,
> /MASQUERADE/, /REDIRECT/. Содержит цепочки /PREROUTING/, /OUTPUT/, и
> /POSTROUTING
>
> У меня роутер живёт в OVZ контейнере, может ему не хватает модулей? Хотя в
> конфиге ему указано:
> IPTABLES="iptable_filter iptable_nat "
> /
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>


-- 
С уважением, Всеволод Мартыненко.
System/Network Administrator
TV/Video Engineer
ICQ 163227020
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080506/fd12c666/attachment-0002.html>

Подробная информация о списке рассылки Sysadmins