Ничего понять не могу :(

Есть tftpd на 10.15.3.253...

Есть следующее правило:

iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j SNAT --to-source 10.15.0.225

В итоге, загрузка с tftpd/10.15.3.253 не работает :(

Ставлю вместо этого правила

iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j MASQUERADE

- работает!!!

Причем, если даже выше SNAT поставить
ACCEPT     all  --  10.15.3.0/24         10.15.3.253

и оставить SNAT, то все равно не работает :(

• SNAT/MASQUERADE,Cayz, 19:49 , 27-Дек-05
  • SNAT/MASQUERADE,Mig, 15:36 , 28-Дек-05
• SNAT/MASQUERADE,Xmas, 16:12 , 28-Дек-05
  • SNAT/MASQUERADE,ru, 07:00 , 29-Дек-05
  • SNAT/MASQUERADE,homeness, 09:27 , 30-Дек-05
    • SNAT/MASQUERADE,Koba LTD., 09:46 , 30-Дек-05

>Ничего понять не могу :(
>
>Есть tftpd на 10.15.3.253...
>
>Есть следующее правило:
>
>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j SNAT
>--to-source 10.15.0.225
>
>В итоге, загрузка с tftpd/10.15.3.253 не работает :(
>
>Ставлю вместо этого правила
>
>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j MASQUERADE

Я не суперспец, но помоему broadcast отправляется с адреса x.x.x.0 на адрес x.x.x.255, я правильно думаю??? т.е. SNAT --to-source 10.15.0.0 ?
>
>
>- работает!!!
>
>Причем, если даже выше SNAT поставить
>ACCEPT     all  --  10.15.3.0/24  
>      10.15.3.253
>
>и оставить SNAT, то все равно не работает :(

>>Ничего понять не могу :(
>>
>>Есть tftpd на 10.15.3.253...
>>
>>Есть следующее правило:
>>
>>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j SNAT
>>--to-source 10.15.0.225
>>
>>В итоге, загрузка с tftpd/10.15.3.253 не работает :(
>>
>>Ставлю вместо этого правила
>>
>>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j MASQUERADE
>
>Я не суперспец, но помоему broadcast отправляется с адреса x.x.x.0 на адрес
>x.x.x.255, я правильно думаю??? т.е. SNAT --to-source 10.15.0.0 ?
а при чем тут броадкаст?
x.x.x.0 -адрес сети,
x.x.x.255 -адрес броадкаст,
10.15.0.225  -это адрес интерфейса на который идет проброс
Спецы поправьте, если ошибаюсь.

>Ничего понять не могу :(
>
>Есть tftpd на 10.15.3.253...
>
>Есть следующее правило:
>
>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j SNAT
>--to-source 10.15.0.225
>
>В итоге, загрузка с tftpd/10.15.3.253 не работает :(
>
>Ставлю вместо этого правила
>
>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j MASQUERADE
>
>
>- работает!!!
>
>Причем, если даже выше SNAT поставить
>ACCEPT     all  --  10.15.3.0/24  
>      10.15.3.253
>
>и оставить SNAT, то все равно не работает :(

Я тоже не спец, но бродкаст тут действительно не причем, можно увидеть вывод route?

modprobe ip_nat_ftp
Для начала

>>Ничего понять не могу :(
>>
>>Есть tftpd на 10.15.3.253...
>>
>>Есть следующее правило:
>>
>>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j SNAT
>>--to-source 10.15.0.225
>>
>>В итоге, загрузка с tftpd/10.15.3.253 не работает :(
>>
>>Ставлю вместо этого правила
>>
>>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j MASQUERADE
>>
>>
>>- работает!!!
>>
>>Причем, если даже выше SNAT поставить
>>ACCEPT     all  --  10.15.3.0/24  
>>      10.15.3.253
>>
>>и оставить SNAT, то все равно не работает :(
>
>Я тоже не спец, но бродкаст тут действительно не причем, можно увидеть
>вывод route?

10.15.0.0    0.0.0.0         255.255.255.0 U         0 0          0 eth1
10.15.7.0       0.0.0.0         255.255.255.0   U         0 0          0 vlan4
10.15.5.0       0.0.0.0         255.255.255.0   U         0 0          0 vlan5
10.15.3.0       0.0.0.0         255.255.255.0   U         0 0          0 vlan3
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 vlan10
10.15.2.0       0.0.0.0         255.255.255.0   U         0 0          0 vlan6
10.15.1.0       0.0.0.0         255.255.255.0   U         0 0          0 vlan2
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         10.15.0.1    0.0.0.0         UG        0 0          0 eth1

Пакет адресов 10.15.0.0/27 поднят на eth1

>>>Ничего понять не могу :(
>>>
>>>Есть tftpd на 10.15.3.253...
>>>
>>>Есть следующее правило:
>>>
>>>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j SNAT
>>>--to-source 10.15.0.225
>>>
>>>В итоге, загрузка с tftpd/10.15.3.253 не работает :(
>>>
>>>Ставлю вместо этого правила
>>>
>>>iptables -t nat -A POSTROUTING -s 10.15.3.0/255.255.255.0 -d ! 10.15.1.250 -j MASQUERADE
>>>
>>>
>>>- работает!!!
>>>
>>>Причем, если даже выше SNAT поставить
>>>ACCEPT     all  --  10.15.3.0/24  
>>>      10.15.3.253
>>>
>>>и оставить SNAT, то все равно не работает :(
>>
>>Я тоже не спец, но бродкаст тут действительно не причем, можно увидеть
>>вывод route?
>
>10.15.0.0    0.0.0.0        
> 255.255.255.0 U        
>0 0          
>0 eth1
>10.15.7.0       0.0.0.0    
>    255.255.255.0   U    
>     0 0    
>     0 vlan4
>10.15.5.0       0.0.0.0    
>    255.255.255.0   U    
>     0 0    
>     0 vlan5
>10.15.3.0       0.0.0.0    
>    255.255.255.0   U    
>     0 0    
>     0 vlan3
>10.10.10.0      0.0.0.0      
>   255.255.255.0   U    
>    0 0      
>    0 vlan10
>10.15.2.0       0.0.0.0    
>    255.255.255.0   U    
>     0 0    
>     0 vlan6
>10.15.1.0       0.0.0.0    
>    255.255.255.0   U    
>     0 0    
>     0 vlan2
>127.0.0.0       0.0.0.0    
>    255.0.0.0      
>U         0 0
>         0 lo
>
>0.0.0.0         10.15.0.1  
> 0.0.0.0         UG
>       0 0  
>       0 eth1
>
>Пакет адресов 10.15.0.0/27 поднят на eth1

обычно когда пишут правило маскорадом то добовлят -o ethX что означает отправлять на этот интерфейс а у тебя просто маскорад тоесть он гонит на все интерфейсы. З.Ы. попробуй указать для маскарада оутпут интерфейс если перестанет пахать то капай в сторону пасивного фтр или ip_ftp_что то там т.е. загрузи ботуль для фтп для iptables.