[Sysadmins] Правила на iptables для заворачивания http-трафика на прокси

[Timur Batyrshin]

On Tue, 06 May 2008 12:50:27 +0300
Денис Ягофаров wrote:

> > Не могу ничего сказать насчет модулей, но если на хосте адрес
> > статический, то судя по тому же iptables tutorial лучше использовать
> > вместо маскарада SNAT.
> > Ну и если кроме 80 и 21 порта ничего не должно проходить, то это
> > правило не нужно, зато нужен запрет на прохождение пакетов, т.к.
> > иначе во внешнюю сеть будут валиться пакеты с внутренними адресами.
> >   
> Как всё выглядит сейчас:
> Клиент (у него указан шлюз) -- (eth0 проброшеный в контейнер) роутер 
> (маршрутизация в Сеть)
> Как я хочу:
> Клиент (у него указан шлюз) -- (eth0 проброшеный в контейнер) роутер 
> (переброс 80 и 21 портов) -- прокси -- роутер (маршрутизация в Сеть)
> ... при этом ssh/pop3/smtp и т.п. спокойно проходят в Сеть ...

А, тогда SNAT (или MASQUARADE) на выходе с роутера нужны.
Если адрес на нем статический -- SNAT, если динамический
(ppp-подключение, например) -- MASQUARADE.