[Sysadmins] DNAT???

[Olvin]

Michael Shigorin пишет:
>>>Если машина - шлюз, то ничего такого не надоразве что
>>>запретить форвард всего кроме -p tcp --dport 80 -d
>>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
>>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
>>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
>>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
>>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
>>192.168.0.0./24
> Вообще для работы DNAT нужен симметричный SNAT -- часом не
> упустили?  Бывало ещё забавно, когда понимание маршрутов у
> машинов из таких подсетей отличалось, в смысле ответ шёл
> мимо NAT.

NAT действует только при разрешённом forward, исключение - redirect, но
это на другой порт той машины, что шлюзом служит.

Вам нужно некое приложение, которое бы слушало на 80-м порту и само
делало запросы на 80-й порт, но на другую машину. Причём запросы один к
одному, эдакий user-space forward (не redirect). Если бы обращения шли
только по имени машины, а не по IP-адресу, то такое можно было бы
реализовать хитрой настройкой DNS-сервера bind (hint: views) и
прокси-сервера squid.