[Sysadmins] DNAT???

Nikolay(computer-service.ru) =?iso-8859-1?q?admin_=CE=C1_computer-service=2Eru?=
Пн Дек 25 10:24:20 MSK 2006


----- Original Message ----- 
From: "Olvin" <olvin на rambler.ru>
To: <shigorin на gmail.com>; "ALT Linux sysadmin discuss"
<sysadmins на lists.altlinux.org>
Sent: Saturday, December 23, 2006 9:32 PM
Subject: Re: [Sysadmins] DNAT???


> Michael Shigorin пишет:
> >>>Если машина - шлюз, то ничего такого не надоразве что
> >>>запретить форвард всего кроме -p tcp --dport 80 -d
> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
> >>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
> >>192.168.0.0./24
> > Вообще для работы DNAT нужен симметричный SNAT -- часом не
> > упустили?  Бывало ещё забавно, когда понимание маршрутов у
> > машинов из таких подсетей отличалось, в смысле ответ шёл
> > мимо NAT.
>
> NAT действует только при разрешённом forward, исключение - redirect, но
> это на другой порт той машины, что шлюзом служит.
>
> Вам нужно некое приложение, которое бы слушало на 80-м порту и само
> делало запросы на 80-й порт, но на другую машину. Причём запросы один к
> одному, эдакий user-space forward (не redirect). Если бы обращения шли
> только по имени машины, а не по IP-адресу, то такое можно было бы
> реализовать хитрой настройкой DNS-сервера bind (hint: views) и
> прокси-сервера squid.

А если это не только 80 порт, вообще любой порт одной машины пробросить на
другую машину.

>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>




Подробная информация о списке рассылки Sysadmins