[Sysadmins] DNAT???

[Michael Shigorin]

On Thu, Dec 21, 2006 at 11:44:36AM +0300, Nikolay(computer-service.ru) wrote:
> > > с двумя сетевыми картами и двумя ip(192.168.0.40 и
> > > 192.168.1.40) Нужно чтобы в одной сети(192.168.0.*) был
> > > виден комп другой(192.168.1.1) сети по определенному
> > > порту(80), но сети при этом друг друга не видели. Думаю
> > > надо использовать DNAT пишу в iptables -A PREROUTING -p tcp
> > > -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> > > 192.168.0.40:80 Обращаюсь из сети 192.168.0.*  к ip
> > > 192.168.0.40 на 80 порт и шиш чего.
> > Если машина - шлюз, то ничего такого не надоразве что
> > запретить форвард всего кроме -p tcp --dport 80 -d
> > 192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
> > только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
> В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
> в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
> порт 80(порт не важен) машины(192.168.1.1) в другую сеть
> 192.168.0.0./24

Вообще для работы DNAT нужен симметричный SNAT -- часом не
упустили?  Бывало ещё забавно, когда понимание маршрутов у
машинов из таких подсетей отличалось, в смысле ответ шёл
мимо NAT.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/