[Comm] IPTABLES more problem

[Igor Solovyov]

Hi!
On Fri, 10 Jan 2003 10:32:59 +0300
Владимир <fmfm на symmetron.msk.ru> wrote:

> Читайте документацию внимательней. REDIRECT это не DNAT!

Разве я утверждал обратное? :-)
Навреное я неудачно сформулировал вопрос, использовав термин REDIRECT
(не в смысле действия iptables), но тем не менее я привел строку, из
которой несложно понять какими средствами я добиваюсь REDIRECT-а:

iptables -t nat -A PREROUTING -p tcp --destination-port 490 \
         -j DNAT --to-destination 192.168.63.120:490

> В данном случае, если необходимо через посредника переадресовать
> пакеты машине той же сети необходимы два взаимосвязанных правила, например.
> 
> iptables -t nat -A PREROUTING -p tcp -s 192.168.63.200 --dport 490 \
>          -j DNAT --to-destination 192.168.63.120
> 
> iptables -t nat -A POSTROUTING -p tcp -d 192.168.63.120 --dport 490 \
>          -j SNAT --to-source <ВНУТРЕННЙ IP АДРЕС ШЛЮЗА>
> 
> У Вас машина-получатель паектов (192.168.63.120) ответы шлет напрямую 
> отправителю

Вы решили, что получателем является именно 192.168.63.200? На самом деле
у меня 8 интерфейсов и 7 из них (кроме как раз 192.168.63.200) могут
быть получателем, а вот собственно редирект будет идти через интерфейс
192.168.63.200 на машину 120 этой сетки. Я это имел в виду. Извините,
что неудачно сформулировал вопрос. :-((

> (192.168.63.200), так как машины находятся в одной локальной сети. 
> Отправитель же ждет
> ответа от ШЛЮЗА и выбрасывает ответы как "незапрошенные".
> На ШЛЮЗ ответы не посылаются, естественно, в LOG они не регистрируются.

На самом деле мой редирект работает. Он прекрасно работает уже целый день.
Проблема похоже была с самой машиной. Как ни странно, перегрузился
и все заработало. И прозрачный прокси и редирект и все остальное. 
Вот такие пироги. :-)))

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia