Страница 2 из 2
Добавлено: 23 ноя 2005, 07:41
redils
Llama,
Вроде я добился того чтобы клиент мог пинговать сеть за шлюзом, но из сети я не мoгу пинговать клиента при включенной строчки iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 61.33.97.1
, т.е. если нат отключить то все работает нормально, если нат включен то из сети я не могу пропинговать клиента правда я не совсем понимаю этот момент так как POSTROUTING должен выполняться после принятия маршрутизации мне так казалось.
Добавлено: 23 ноя 2005, 10:45
Llama
гм, отправляемся учить матчасть...
При прохождениее SNAT у всех пакетов их сети 192.168.1.0/24 source address меняется на 61.33.97.1. Firewall отслеживает установленные соединения и производит обратную трансляцию при необходимости. Через NAT можно инициировать новое соединение только с одной стороны (не считая обрабатываемых контрэком ftp и т.п.) - т.е. бы рекомендовал поправить правило чтобы пакеты идущие из/в сети 192.168.0.0/16 не подвергались SNAT. Т.е. POSTROUTING выполняется дествительно перед отправкой пакета на физический уровень, то в качестве критерия можно попробывать использовать -o.
Добавлено: 23 ноя 2005, 14:26
redils
строка iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 61.33.97.1 помогла , оргомное спасибо!!!
Добавлено: 23 ноя 2005, 16:34
almos
У меня тоже есть вопрос частично не по теме, но все равно,
я хочу сделать прозрачный прокси, нашел статью, в ней указаны такие команды:
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -d ! 192.168.1.1 --dport 3128 -p TCP -j DROP
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -d ! 192.168.1.1 --dport 8080 -p TCP -j DROP
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
последняя срабатывает нормально, а первые две не проходят, система ругается на параметр dport. (у меня suse linux 9.1)
Добавлено: 23 ноя 2005, 16:43
Llama
полагаю, вместо --dport -P TCP надо писать
-p tcp --dport