URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84238
[ Назад ]

Исходное сообщение
"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 24-Фев-09 23:52

Стоит Linux роутер.
Раньше был один провайдер, который выделял прямой адрес, я этот адрес тавил прямо на сетевую карту.
Далее, при помощи DNAT я раскидывал ssh разным компам внутри офисной сети, а так же пробрасывал rdp на несколько машин с windows и 80 порт на одну из машин где стоит
apache.
На машине, на которой стоит апач (windows xp), написан php скрипт, которому скармливается загружаемый через форму архив. Он этот архив распаковывает и скармливает далее виндовой программе установленной на этой же машине.
Все работало на ура. Но мы сменили провайдера, и провайдером стала корбина. Соответственно на роутере я поднял как того требует корбиновсое подключение ppp через l2tp. Все правила для DNAT переписал под новый внешний адрес и в принципе все работает кроме одной вещи.
Перестала работать загрузка файлов через форму.
Причем не пойму причину. Если к серверу (повторяю, что это виндовая машина с апачем в офисе) коннектится из офиса - т.е. напрямую, то загрузка через форму работает.
А если коннектится с инета, т.е. получается через роутер и DNAT, то на странички вебсервера я попадаю, а это значит что DNAT работает. Качать оттуда могу, с сервера за DNAT, данные через формы передаются скриптам, а вот файлы почему-то закачиваться перестали...
Я уже тупо не знаю что делать, с виду все работает... если бы не работал переброс порта внутрь (к стати всего 1 порт 80-й перебрасываю и tcp и udp на всякий пожарный), было бы понятно, но оно работает, сервер таким образум снаружи виден.. т.е. запросы на него и ответы с него идут, а вот закачка файлов (даже совсем мелких), не работает.

Помогите, пожалуйста, кто знает, в чем проблема....

Содержание

после смены провайдера стал глючить апач через DNAT,angra, 00:31 , 25-Фев-09
- после смены провайдера стал глючить апач через DNAT,d_D_d, 10:13 , 25-Фев-09
  - после смены провайдера стал глючить апач через DNAT,angra, 03:02 , 26-Фев-09
после смены провайдера стал глючить апач через DNAT,LS, 02:03 , 25-Фев-09
- после смены провайдера стал глючить апач через DNAT,d_D_d, 10:31 , 25-Фев-09
  - после смены провайдера стал глючить апач через DNAT,LS, 10:56 , 25-Фев-09
  - после смены провайдера стал глючить апач через DNAT,LS, 11:06 , 25-Фев-09
    - после смены провайдера стал глючить апач через DNAT,LS, 11:10 , 25-Фев-09
      - после смены провайдера стал глючить апач через DNAT,LS, 11:12 , 25-Фев-09
    - после смены провайдера стал глючить апач через DNAT,d_D_d, 11:25 , 25-Фев-09
      - после смены провайдера стал глючить апач через DNAT,d_D_d, 11:33 , 25-Фев-09
        
        после смены провайдера стал глючить апач через DNAT,d_D_d, 11:48 , 25-Фев-09
        
        после смены провайдера стал глючить апач через DNAT,LS, 12:14 , 25-Фев-09
        
        после смены провайдера стал глючить апач через DNAT,d_D_d, 12:23 , 25-Фев-09
        
        после смены провайдера стал глючить апач через DNAT,LS, 12:23 , 25-Фев-09
        после смены провайдера стал глючить апач через DNAT,LS, 12:31 , 25-Фев-09
        
        после смены провайдера стал глючить апач через DNAT,d_D_d, 12:44 , 26-Фев-09

Сообщения в этом обсуждении

"после смены провайдера стал глючить апач через DNAT"
Отправлено angra , 25-Фев-09 00:31

Ситуация действительно странная. По сути file upload ничем не отличается от обычного post запроса, работают ли формы с post?
Может смена провайдера совпала с какими-то изменениями в конфигурации(как глобальной так и .htaccess) сервера, особенно в сторону безопасности?
Также неплохо было бы посмотреть лог апача при попытке аплоада. Ну и наконец подробней объяснить как именно выглядит "не работает"

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 25-Фев-09 10:13

>Ситуация действительно странная. По сути file upload ничем не отличается от обычного
>post запроса, работают ли формы с post?
>Может смена провайдера совпала с какими-то изменениями в конфигурации(как глобальной так и
>.htaccess) сервера, особенно в сторону безопасности?
>Также неплохо было бы посмотреть лог апача при попытке аплоада. Ну и
>наконец подробней объяснить как именно выглядит "не работает"
Запросы типа post с форм работают. Что меня и огорчает. Т.к. я знаю что file upload это то же самое что и запрос типа post. На сервере ничего не трогали. Из локалки все работает.
ситуация "не работает" выглядит следующим образом.
1. Работает при подключении к серверу внутри локалки, но не за DNATом.
2. Форма такая
<form action="starter.php" method="post" enctype="multipart/form-data">
    <b>Выберите zip-архив:</b><br />
   <input type="file" name="arch"><br />
    <b>Извлечь в папку:</b><br />
        <input type="text" name="fold"><br /><br />
            <input type="submit" value="Загрузить">
</form>
Далее после нажатия кнопки "загрузить" должна происходить загрузка и потом этот файл должен скармливаться скрипту starter.php. За ДНАТ происходит следующее: после нажатия на форме кнопки "загрузить" браузер висит и до вызова starter.php не доходит. Файл во временном каталоге загрузки прописанном в php.ini не появляется.
В логах апача ошибок нет, хотя loglevel стоит debug, однако в error.log пусто.
Примерно так.

"после смены провайдера стал глючить апач через DNAT"
Отправлено angra , 26-Фев-09 03:02

Ради любопытства поставь апач на шлюз и посмотри будет ли работать с ним, может проблема со стороны провайдера, а не NAT
Если не прояснится, то надо переходить к ethereal/wireshark и смотреть где именно возникает проблема и какого рода.

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 02:03

>Перестала работать загрузка файлов через форму.
>Причем не пойму причину. Если к серверу (повторяю, что это виндовая машина
>с апачем в офисе) коннектится из офиса - т.е. напрямую, то
>загрузка через форму работает.
>
>А если коннектится с инета, т.е. получается через роутер и DNAT, то
>на странички вебсервера я попадаю, а это значит что DNAT работает.
>Качать оттуда могу, с сервера за DNAT, данные через формы передаются
>скриптам, а вот файлы почему-то закачиваться перестали...
>
есть подозрение, что Вы файлы на веб-сервер по ftp-протоколу заливаете. в этом случае подгружайте модули ядра ip_nat_ftp и ip_nat_conntrack_ftp. в любом случае было бы намного яснее, если бы Вы показали правила пакетного фильтра, которыми пробрасываете соединение и указали каким способом файл должен выгружаться на веб-сервер.

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 25-Фев-09 10:31

>[оверквотинг удален]
>>на странички вебсервера я попадаю, а это значит что DNAT работает.
>>Качать оттуда могу, с сервера за DNAT, данные через формы передаются
>>скриптам, а вот файлы почему-то закачиваться перестали...
>>
>
>есть подозрение, что Вы файлы на веб-сервер по ftp-протоколу заливаете. в этом
>случае подгружайте модули ядра ip_nat_ftp и ip_nat_conntrack_ftp. в любом случае было
>бы намного яснее, если бы Вы показали правила пакетного фильтра, которыми
>пробрасываете соединение и указали каким способом файл должен выгружаться на веб-сервер.
>
Каким способом файл грузится на сервер я описал в ответе чуть выше.... Дублировать наверно нет смысла.
Правила пакетного фильтра вот:
192.168.1.2\255.255.252.0 внутренняя сетка
-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.2.100:20
-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 20 -j DNAT --to-destination 192.168.2.100:20
Таким способом пробрасываю внутрь ftp, rdp, http как ни странно глюков с rdp не замечено,
ftp иногда глючит. Но это ерунда
conntrack вкомпилирован в ядро и поддержка протокола ftp для NAT тоже в ядро вкомпилирована. Т.е. в опциях ядра включено все что касается netfilter причем в ядро и сразу.... (Сделано до меня, я пока еще ядро на роутере не пересобирал)..
Вот - примерно так

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 10:56

>[оверквотинг удален]
>--to-destination 192.168.2.100:3389
>-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 21 -j DNAT
>--to-destination 192.168.2.100:21
>-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 21 -j DNAT
>--to-destination 192.168.2.100:21
>-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 20 -j DNAT
>--to-destination 192.168.2.100:20
>-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 20 -j DNAT
>--to-destination 192.168.2.100:20
>
ну это же не все... цепочка forward где? покажите полностью что к пробросу на веб-сервер относится

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 11:06

-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80
этим Вы ловите входящие пакеты и редиректите их на сервер, а snat где? для исходящих от сервера пакетов?

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 11:10

>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat
>где? для исходящих от сервера пакетов?
типа
-A POSTROUTING -o ppp0 -s WEB_SERVER -j SNAT --to source <gate>
кстати ppp0 - бяка. по адресам лучше работать и с маской ppp+ ИМХО. да динамических интерфейсах никогда не знаешь какое имя будет...

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 11:12

>[оверквотинг удален]
>>-j DNAT --to-destination 192.168.2.100:80
>>
>>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat
>>где? для исходящих от сервера пакетов?
>
>типа
>-A POSTROUTING -o ppp0 -s WEB_SERVER -j SNAT --to source <gate>
>
>кстати ppp0 - бяка. по адресам лучше работать и с маской ppp+
>ИМХО. да динамических интерфейсах никогда не знаешь какое имя будет...
думаю у Вас адрес на ppp0 все равно статика - вот от него и рулите...

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 25-Фев-09 11:25

>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat
>где? для исходящих от сервера пакетов?
И так. Имеется 2 канала в инет.
Один не работает совсем 195.91.xxx.xxx (вернее - он работает, но не всегда и не основной), второй 78.107.yyy.yyy работает. eth0 - локалка. eth1 - сетка корбины. eth2 - старый пров. ppp0 - l2tp до корбины.

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:BF:61:14:F6
          inet addr:192.168.1.2  Bcast:192.168.3.255  Mask:255.255.252.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11087769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17157417 errors:0 dropped:0 overruns:8 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2649250343 (2526.5 Mb)  TX bytes:921890066 (879.1 Mb)
          Interrupt:12 Base address:0x8000
eth1      Link encap:Ethernet  HWaddr 00:10:DC:59:9E:2E
          inet addr:10.82.90.220  Bcast:10.82.95.255  Mask:255.255.248.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:16943873 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10502728 errors:0 dropped:0 overruns:8 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1667233982 (1589.9 Mb)  TX bytes:3021461412 (2881.4 Mb)
          Interrupt:11 Base address:0xa000
eth2      Link encap:Ethernet  HWaddr 00:02:44:44:10:B3
          inet addr:195.91.xxx.xxx  Bcast:195.91.195.63  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:393548 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25431 errors:0 dropped:0 overruns:0 carrier:0
          collisions:122 txqueuelen:1000
          RX bytes:40479522 (38.6 Mb)  TX bytes:8901341 (8.4 Mb)
          Interrupt:10 Base address:0xe000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32094 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32094 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4196261 (4.0 Mb)  TX bytes:4196261 (4.0 Mb)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:78.107.yyy.yyy  P-t-P:85.21.0.249  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:15218879 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9573287 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:270291262 (257.7 Mb)  TX bytes:1887066347 (1799.6 Mb)
Маршруты на всякий случай (их тут много, но основная масса нужна чтоб поднять l2tp до корбины)
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.21.0.66      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.16      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.88.130    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.138.3     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.17      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.192.3     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.18      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.16    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.138.214   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.1     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.52.254    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.21      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.138.210   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.21    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.91.195.62   0.0.0.0         255.255.255.255 UH    0      0        0 eth2
85.21.0.255     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.26    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
89.179.135.67   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
213.234.192.8   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.253     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
62.205.179.146  10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.251     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.79.38     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.93    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.52.198    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.249     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
78.107.69.98    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.15      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.72.80     10.82.88.1      255.255.255.240 UG    0      0        0 eth1
85.21.138.208   10.82.88.1      255.255.255.240 UG    0      0        0 eth1
83.102.146.96   10.82.88.1      255.255.255.224 UG    0      0        0 eth1
195.91.195.32   0.0.0.0         255.255.255.224 U     0      0        0 eth2
85.21.90.0      10.82.88.1      255.255.255.0   UG    0      0        0 eth1
78.107.23.0     10.82.88.1      255.255.255.0   UG    0      0        0 eth1
85.21.79.0      10.82.88.1      255.255.255.0   UG    0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
10.82.88.0      0.0.0.0         255.255.248.0   U     1      0        0 eth1
195.14.32.0     10.82.88.1      255.255.224.0   UG    0      0        0 eth1
85.21.0.0       10.82.88.1      255.255.0.0     UG    0      0        0 eth1
10.0.0.0        10.82.88.1      255.0.0.0       UG    0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         85.21.0.249     0.0.0.0         UG    0      0        0 ppp0
Чтоб работал еще и старый инет канал есть правило
#!/bin/bash
IF1=eth2
IF2=ppp0
P1_NET=195.91.rrr.rrr/32
IP1=195.91.ххх.ххх
P1=195.91.zzz.zzz

P2_NET=78.107.yyy.yyy/32
IP2=78.107.yyy.yyy
P2=78.107.yyy.yyy

ip route add $P1_NET dev $IF1 src $IP1 table shvernic
ip route add default via $P1 table shvernic
ip route add $P2_NET dev $IF2 src $IP2 table corbina
ip route add default via $P2 dev ppp0 table corbina
ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2
ip route add default via $P2 dev ppp0
#ip route add default via $P1
ip rule add from $IP1 table shvernic
ip rule add from $IP2 table corbina
ip route flush cache

вывод iptables-save

# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*raw
:PREROUTING ACCEPT [3589609860:2683849490453]
:OUTPUT ACCEPT [85965493:27803836461]
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*nat
:PREROUTING ACCEPT [1228905:109950053]
:POSTROUTING ACCEPT [2874:657190]
:OUTPUT ACCEPT [82921:6139661]
-A PREROUTING -s 192.168.0.0/255.255.252.0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.1.2:53
-A PREROUTING -s 192.168.0.0/255.255.252.0 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.2:53
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5190 -j DNAT --to-destination 192.168.2.237:22
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 631 -j DNAT --to-destination 192.168.2.100:631
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.2.237:80
-A PREROUTING -d 195.91.xxx.xxx -p udp -m udp --dport 8888 -j DNAT --to-destination 192.168.2.237:80
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5191 -j DNAT --to-destination 192.168.2.237:3690
-A PREROUTING -d 195.91.xxx.xxx -p udp -m udp --dport 5191 -j DNAT --to-destination 192.168.2.237:3690
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5801 -j DNAT --to-destination 192.168.2.237:5801
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5901 -j DNAT --to-destination 192.168.2.237:5901
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 6001 -j DNAT --to-destination 192.168.2.237:6001
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5800 -j DNAT --to-destination 192.168.2.237:5801
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.2.237:5901
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 6000 -j DNAT --to-destination 192.168.2.237:6001
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 1521 -j DNAT --to-destination 192.168.2.237
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 1158 -j DNAT --to-destination 192.168.2.237
-A PREROUTING -d ! 192.168.0.0/255.255.252.0 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 192.168.0.0/255.255.252.0 -i eth0 -p udp -m udp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 78.107.yyy.yyy -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.yyy.yyy -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.yyy.yyy -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.yyy.yyy -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.yyy.yyy -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.2.100:20
-A PREROUTING -d 78.107.yyy.yyy -p udp -m udp --dport 20 -j DNAT --to-destination 192.168.2.100:20
-A PREROUTING -d 78.107.yyy.yyy -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.yyy.yyy -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j SNAT --to-source 78.107.yyy.yyy
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*mangle
:PREROUTING ACCEPT [43368742:38843667831]
:INPUT ACCEPT [24826244:24864616847]
:FORWARD ACCEPT [18345282:13954842184]
:OUTPUT ACCEPT [19689111:9135970258]
:POSTROUTING ACCEPT [38034381:23090804106]
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*filter
:INPUT DROP [47:12961]
:FORWARD DROP [7:7564]
:OUTPUT DROP [5:772]
-A INPUT -s 192.168.2.236 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.239 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.222 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.249 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.244 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.250 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.253 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.252 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.206 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.251 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.224 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.232 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.229 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.240 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.243 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.237 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.240 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.243 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.221 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.240 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.243 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.221 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.245 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.230 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.214 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.212 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.183 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.250 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.225 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.211 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.208 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.223 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.205 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.182 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.247 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.100 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 135:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 135:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 135:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 135:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 445 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.2.236 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.236 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.239 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.239 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.222 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.222 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.249 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.249 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.244 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.244 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.250 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.250 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.253 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.253 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.252 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.252 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.206 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.206 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.251 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.251 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.224 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.224 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.232 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.232 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.229 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.229 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.240 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.240 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.243 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.243 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.237 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.237 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.240 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.240 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.243 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.243 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.221 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.221 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.240 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.240 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.243 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.243 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.221 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.221 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.245 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.245 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.230 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.230 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.214 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.214 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.212 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.212 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.183 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.183 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.250 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.250 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.225 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.225 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.211 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.211 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.208 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.208 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.223 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.223 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.205 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.205 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.182 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.182 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.247 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.247 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.100 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.100 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -j LOG --log-prefix "FW! " --log-level 7
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.2.100 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.100 -i ppp0 -p udp -m udp --dport 80 -j ACCEPT
-A OUTPUT -d 192.168.2.236 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.239 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.222 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.249 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.244 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.250 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.253 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.252 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.206 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.251 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.224 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.232 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.229 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.240 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.243 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.237 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.240 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.243 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.221 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.240 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.243 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.221 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.245 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.230 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.214 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.212 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.183 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.250 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.225 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.211 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.208 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.223 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.205 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.182 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.247 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.100 -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 631 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 445 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
На множественные разрешительные правила внимания не обращайте...
Да и все кроме конфига iptables - так, чтоб понятней было....

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 25-Фев-09 11:33

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.0.0/22       anywhere            tcp dpt:domain to:192.168.1.2:53
DNAT       udp  --  192.168.0.0/22       anywhere            udp dpt:domain to:192.168.1.2:53
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:aol to:192.168.2.237:22
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:ipp to:192.168.2.190:631
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:8888 to:192.168.2.237:80
DNAT       udp  --  anywhere             rrr.rinet.ru udp dpt:8888 to:192.168.2.237:80
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5191 to:192.168.2.237:3690
DNAT       udp  --  anywhere             rrr.rinet.ru udp dpt:5191 to:192.168.2.237:3690
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5801 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5901 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:6001 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5800 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5900 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:x11 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:1521 to:192.168.2.237
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:1158 to:192.168.2.237
REDIRECT   tcp  --  anywhere            !192.168.0.0/22      tcp dpt:http redir ports 3128
REDIRECT   udp  --  anywhere            !192.168.0.0/22      udp dpt:http redir ports 3128
DNAT       tcp  --  anywhere             zzz.static.corbina.ru tcp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       tcp  --  anywhere            zzz.static.corbina.ru tcp dpt:ftp to:192.168.2.100:21
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:ftp to:192.168.2.100:21
DNAT       tcp  --  anywhere             zzz.static.corbina.ru tcp dpt:ftp-data to:192.168.2.100:20
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:ftp-data to:192.168.2.100:20
DNAT       tcp  --  anywhere             zzz.static.corbina.ru tcp dpt:http to:192.168.2.100:80
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:http to:192.168.2.100:80
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
SNAT       all  --  anywhere             anywhere            to:78.107.yyy.yyy
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 25-Фев-09 11:48

Выкинул все лишние и дублирующие правила, результат тот же - не работает
iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.0.0/22       anywhere            tcp dpt:domain to:192.168.1.2:53
DNAT       udp  --  192.168.0.0/22       anywhere            udp dpt:domain to:192.168.1.2:53
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:aol to:192.168.2.237:22
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:ipp to:192.168.2.190:631
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:8888 to:192.168.2.237:80
DNAT       udp  --  anywhere             qqq.rinet.ru udp dpt:8888 to:192.168.2.237:80
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5191 to:192.168.2.237:3690
DNAT       udp  --  anywhere             qqq.rinet.ru udp dpt:5191 to:192.168.2.237:3690
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5801 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5901 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:6001 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5800 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5900 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:x11 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:1521 to:192.168.2.237
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:1158 to:192.168.2.237
REDIRECT   tcp  --  anywhere            !192.168.0.0/22      tcp dpt:http redir ports 3128
REDIRECT   udp  --  anywhere            !192.168.0.0/22      udp dpt:http redir ports 3128
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:ftp to:192.168.2.100:21
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:ftp to:192.168.2.100:21
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:ftp-data to:192.168.2.100:20
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:ftp-data to:192.168.2.100:20
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:http to:192.168.2.100:80
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:http to:192.168.2.100:80
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  anywhere             anywhere            to:78.107.yyy.yyy
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 12:14

коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так, то простым route тут не обойдешься....

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 25-Фев-09 12:23

>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так,
>то простым route тут не обойдешься....
Запущен.
Но вопрос то остается открытым...
Не работает только file upload у апача а данные из форм методом пост передаются и апач снаружи виден и работает. php скрипты тоже работают... и в логе ошибок нет :(

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 12:23

>>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так,
>>то простым route тут не обойдешься....
>
>Запущен.
>
>Но вопрос то остается открытым...
>
>Не работает только file upload у апача а данные из форм методом
>пост передаются и апач снаружи виден и работает. php скрипты тоже
>работают... и в логе ошибок нет :(
покажи ip rule list

"после смены провайдера стал глючить апач через DNAT"
Отправлено LS , 25-Фев-09 12:31

>>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так,
>>то простым route тут не обойдешься....
>
>Запущен.
>
>Но вопрос то остается открытым...
>
>Не работает только file upload у апача а данные из форм методом
>пост передаются и апач снаружи виден и работает. php скрипты тоже
>работают... и в логе ошибок нет :(
у тебя там маршрутизация еще хз как настроена. и не будет в логе ошибок. с чего они там возьмуться? в таблетках ни одного правила нет чтоб в лог писать. и маршрутизация построена по ходу на iproute2. тут копать и копать в чем причина..
вернее ясно, что проблема в маршрутах. только вот оказалось что не все так просто.

"после смены провайдера стал глючить апач через DNAT"
Отправлено d_D_d , 26-Фев-09 12:44

>[оверквотинг удален]
>>Не работает только file upload у апача а данные из форм методом
>>пост передаются и апач снаружи виден и работает. php скрипты тоже
>>работают... и в логе ошибок нет :(
>
>у тебя там маршрутизация еще хз как настроена. и не будет в
>логе ошибок. с чего они там возьмуться? в таблетках ни одного
>правила нет чтоб в лог писать. и маршрутизация построена по ходу
>на iproute2. тут копать и копать в чем причина..
>вернее ясно, что проблема в маршрутах. только вот оказалось что не все
>так просто.
ip rule list
0:    from all lookup local
32764:    from 78.107.yyy.yyy lookup corbina
32765:    from 195.91.xxx.xxx lookup shvernic
32766:    from all lookup main
32767:    from all lookup default

#!/bin/bash
IF1=eth2
IF2=ppp0
P1_NET=195.91.xxx.xxx/32
IP1=195.91.xxx.xxx
P1=195.91.xxx.zzz

P2_NET=78.107.yyy.yyy/32
IP2=78.107.yyy.yyy
P2=78.107.yyy.yyy

ip route add $P1_NET dev $IF1 src $IP1 table shvernic
ip route add default via $P1 table shvernic
ip route add $P2_NET dev $IF2 src $IP2 table corbina
ip route add default via $P2 dev ppp0 table corbina
ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2
ip route add default via $P2 dev ppp0
#ip route add default via $P1
ip rule add from $IP1 table shvernic
ip rule add from $IP2 table corbina

Так задаются правила маршрутизации.
Но у меня rdp на этот же сервер нормально пробрасывается. ftp тоже.