Llama,
Вроде я добился того чтобы клиент мог пинговать сеть за шлюзом, но из сети я не мoгу пинговать клиента при включенной строчки iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 61.33.97.1
, т.е. если нат отключить то все работает нормально, если нат включен то из сети я не могу пропинговать клиента правда я не совсем понимаю этот момент так как POSTROUTING должен выполняться после принятия маршрутизации мне так казалось.
Обращаюсь снова к вам за помощью с настройкой маршрутизацией
гм, отправляемся учить матчасть...
При прохождениее SNAT у всех пакетов их сети 192.168.1.0/24 source address меняется на 61.33.97.1. Firewall отслеживает установленные соединения и производит обратную трансляцию при необходимости. Через NAT можно инициировать новое соединение только с одной стороны (не считая обрабатываемых контрэком ftp и т.п.) - т.е. бы рекомендовал поправить правило чтобы пакеты идущие из/в сети 192.168.0.0/16 не подвергались SNAT. Т.е. POSTROUTING выполняется дествительно перед отправкой пакета на физический уровень, то в качестве критерия можно попробывать использовать -o.
При прохождениее SNAT у всех пакетов их сети 192.168.1.0/24 source address меняется на 61.33.97.1. Firewall отслеживает установленные соединения и производит обратную трансляцию при необходимости. Через NAT можно инициировать новое соединение только с одной стороны (не считая обрабатываемых контрэком ftp и т.п.) - т.е. бы рекомендовал поправить правило чтобы пакеты идущие из/в сети 192.168.0.0/16 не подвергались SNAT. Т.е. POSTROUTING выполняется дествительно перед отправкой пакета на физический уровень, то в качестве критерия можно попробывать использовать -o.
Опыт растет прямо пропорционально выведенному из строя оборудованию
У меня тоже есть вопрос частично не по теме, но все равно,
я хочу сделать прозрачный прокси, нашел статью, в ней указаны такие команды:
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -d ! 192.168.1.1 --dport 3128 -p TCP -j DROP
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -d ! 192.168.1.1 --dport 8080 -p TCP -j DROP
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
последняя срабатывает нормально, а первые две не проходят, система ругается на параметр dport. (у меня suse linux 9.1)
я хочу сделать прозрачный прокси, нашел статью, в ней указаны такие команды:
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -d ! 192.168.1.1 --dport 3128 -p TCP -j DROP
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -d ! 192.168.1.1 --dport 8080 -p TCP -j DROP
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
последняя срабатывает нормально, а первые две не проходят, система ругается на параметр dport. (у меня suse linux 9.1)
