[Sysadmins] DNAT???
Andrii Dobrovol`s`kii
=?iso-8859-1?q?dobr_=CE=C1_iop=2Ekiev=2Eua?=
Пн Дек 25 18:51:35 MSK 2006
Nikolay(computer-service.ru) пишет:
> СПАСИБО всем кто принял живое участие в обсуждении проблемы!!!!
> Задача разрешилась применением S/D NAT
> Отчет:
> 1. Разрешаем на машине с 2 картами форвардинг (sysctl.conf ->
> net.ipv4.ip_forward = 1)
Это понятно.
> 2. в iptables добавляем правила
>
> *nat
> -A PREROUTING -p tcp -d 192.168.0.40 --dport 80 -j DNAT --to-destination
> 192.168.1.1:80
Это понятно.
> -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source
> 192.168.1.1
>
А тут Ваша мысль мне не понятна... (Какой адрес на каком интерфейсе?)
>
> *filter
> -A FORWARD -s 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT
Это понятно. Если eth0 исходящий итерфейс в другую сеть. Но, нужно ли?
> -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>
Это понятно, но, почему так односторонне?
> Обращаемся из сети 192.168.0.0/255.255.255.0 на 192.168.0.40:80 и получаем
> данные с 192.168.1.1:80
>
>
Хорошо, что работает. :) А что покажет вывод iptables -L -v -t nat в
процессе работы? Я про счетчики пакетов для каждого правила.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 189 байтов
Описание: OpenPGP digital signature
Url : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20061225/67b7ecc0/attachment-0003.bin>
Подробная информация о списке рассылки Sysadmins