[Comm] Настройка NAT

[Mulder]

Maria Shakhova пишет:

>>SNAT позволяет пользователям локальной сети по своей инициативе откывать
>>внешние соединения.
>>Почтовый сервер работает на прием. Если почтоый сервер во внутренней
>>сети для 25 (113) порта
>>необходимо настроить DNAT. Поскольку статический IP не один, советую
>>использовать под почту
>>дополнительный IP, настроив на шлюзе IPalias.
>>    
>>
>То есть нельзя сделать просто переадресацию запроса пользователя с удаленной 
>машины на удаленный почтовый сервер и после ответа (открыто получение почты) 
>этот ответ перенаправить? Почтовый сервер обязательно ставить? Я думала 
>,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового 
>сервера -- с другой машиной экспериментировали -- почта у всей локалки 
>получается)
>  
>

Все это можно.
Вот как, приблизительно, у меня, но тут вообще полный доступ наружу для 
компов локалки, а не только почту, если надо, например, только почту по 
POP, то в цепочке POSTROUTING таблицы nat  указать конкретные порты , на 
которые разрешен доступ (например 110 для POP3),
Вобще-то, саму трансляцию тут делает последняя  строка (и она совпадает 
с вашей), а предыдущие три - разрешают соединения, инициированные только 
с внутренних компов.
У меня так работает.

modprobe ip_conntrack
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state 
ESTABLISHED,RELATED -j ACCCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCCEPT
iptables -t nat -A POSTROUTING  -s <внутренний_диапазон_адресов> -o eth1 
-j SNAT --to-source <внешний_адрес>