URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73485
[ Назад ]

Исходное сообщение
"iptables"
Отправлено SSargis , 13-Апр-07 09:42

Подскажите плиз для чего эти rule-ы ???

#iptables -t nat -A PREROUTING  -s 62.89.8.90   --dst 62.89.8.154   -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18
#iptables -t nat -A POSTROUTING -s 62.89.8.90   --dst 62.89.22.18   -p tcp --dport 3128 -j SNAT --to-source      62.89.22.17
#iptables -t nat -A OUTPUT      -s 62.89.8.90   --dst 62.89.8.154   -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18

Содержание

iptables,test, 10:01 , 13-Апр-07
iptables,DarkAnge1, 10:07 , 13-Апр-07
- iptables,test, 10:41 , 13-Апр-07
  - iptables,DarkAnge1, 11:17 , 13-Апр-07

Сообщения в этом обсуждении

"iptables"
Отправлено test , 13-Апр-07 10:01

>Подскажите плиз для чего эти rule-ы ???
>
>
>#iptables -t nat -A PREROUTING  -s 62.89.8.90   --dst 62.89.8.154
>  -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18
>#iptables -t nat -A POSTROUTING -s 62.89.8.90   --dst 62.89.22.18
> -p tcp --dport 3128 -j SNAT --to-source
>  62.89.22.17
>#iptables -t nat -A OUTPUT      -s 62.89.8.90
>  --dst 62.89.8.154   -p tcp --dport 3128 -j
>DNAT --to-destination 62.89.22.18

это трансляция адресов т.е.
Первое правило - У всех пакетов уходящих с 62.89.8.90 на IP 62.89.8.154 и порт 3128 адрес назначения будет заменятся на 62.89.22.18
Второе правило - У всех пакетов уходящих с 62.89.8.90 на 62.89.22.18 и порт 3128 адрес источника будет заменятся на 62.89.22.17
Последнее правило транслирует адрес 62.89.8.90 в пакетах, исходящих от локальных процессов брандмауэра.

"iptables"
Отправлено DarkAnge1 , 13-Апр-07 10:07

...постараюсь ответить как мне это кажется...
итак условная схема сети
юзер1 --- роутер --- юзер2
юзер1 = 62.89.8.90
юзер2 = 62.89.22.18
при таких правилах юзер 2 видит юзера 1 с айпишником 62.89.22.17, а юзер 1 общается с юзером 2 используя айпи 62.89.8.154. Итого народ общается, но реальных адресов друг друга не знает, вернее, что бы было именно так, нехватает еще двух правил... Так что хз какие цели преследовал человек писавший эти правила... :) последние правило ваще не понятно...
ЗЫ Очень вероятно, что я что-то не так понял

"iptables"
Отправлено test , 13-Апр-07 10:41

Вообщем получается так, скорей всего IP 62.89.8.90 это один из адрессов шлюза(комп где крутится iptables) закрепленный на какойнибудь сетевушки, я так думаю из за третьего правила.
По первому правилу пакеты уходящие с 62.89.8.90 на адрис 62.89.8.154 и порт 3128(Наверно Squid proxy) будут уходить не на 62.89.8.154 а на 62.89.22.18.

По второму правилу пакеты уходящие на 62.89.22.18(т.е. включая пакеты с первого правила) от 62.89.8.90 ни когда не вернутся потомучто обратный IP(источника) заменится на 62.89.22.17
Третье правило делает тоже самое что и первое здесь оно избыточное.
Вообще что бы понять логику нужно посмотреть весь листинг правил.

"iptables"
Отправлено DarkAnge1 , 13-Апр-07 11:17

..ну, ИМХО, первое и третье правило не повторяю друг друга... и мне кажется, что логика отсутствует в использовании обоих т.к. исходящие от локальных процессов пакеты никогда не пройдут через PREROUTING, а проходящие не пройдут через OUTPUT итого не понятно 62.89.8.90 это адрес сетевухи машины на которой крутится iptables или все таки где-то далеко :) а насчет не вернется... у меня подозрения, что есть NAT таблица через которую адреса изменяется обратно и пакеты таки возвращаются...