[Comm] routing и NAT

[Alexey I. Froloff]

* Olvin <olvin@> [080321 23:19]:
>> iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j SNAT --to-source REAL_IP
> А как насчёт "-j MASQUERADE" вместо "-j SNAT --to-source
> REAL_IP"? Пакетам из локалки вы подменяете адрес, а обратную
> подмену кто будет делать?
Ядро и будет делать.  Для установленных соединенй.  MASQUERADE
это такой "SNAT для бедных", когда нельзя точно определить
внешний адрес интерфейса (DHCP, DialUp, etc).

Вообще сами правила SNAT/DNAT/MASQUERADE применяются только к
первому пакету, который открывает соединение.  Это утверждение
можно легко проверить посмотрев на counters в iptables -L.

-- 
Regards,
Sir Raorn.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20080321/cf0ab24a/attachment-0002.bin>