[Sysadmins] DNAT???

[Alexander Volkov]

On 2006-12-23 20:32:03 +0200, Olvin wrote:
O> Michael Shigorin пишет:
O> >>>Если машина - шлюз, то ничего такого не надоразве что
O> >>>запретить форвард всего кроме -p tcp --dport 80 -d
O> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
O> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
O> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
O> >>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
O> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
O> >>192.168.0.0./24
O> > Вообще для работы DNAT нужен симметричный SNAT -- часом не
O> > упустили?  Бывало ещё забавно, когда понимание маршрутов у
O> > машинов из таких подсетей отличалось, в смысле ответ шёл
O> > мимо NAT.

O> NAT действует только при разрешённом forward, исключение - redirect, но
O> это на другой порт той машины, что шлюзом служит.

O> Вам нужно некое приложение, которое бы слушало на 80-м порту и само
O> делало запросы на 80-й порт, но на другую машину. Причём запросы один к
O> одному, эдакий user-space forward (не redirect). Если бы обращения шли
O> только по имени машины, а не по IP-адресу, то такое можно было бы
O> реализовать хитрой настройкой DNS-сервера bind (hint: views) и
O> прокси-сервера squid.
тут ришло в голову - повесить на это дело nginx и проксировать на нужный
хост?
--
 Regards, Alexander