https://opennet.me/openforum/vsluhforumID1/82345.html Здраствуйте!<br><br>Задача такая: есть локальная сеть, выходит в инет через шлюз на iptables (NAT) (192.168.1.1). В этой сетке есть один веб-сервер (192.168.1.9), который должен принимать соединения из интернета как от шлюза (шлюз должен маскировать адреса клиентов из инета своим). Пытался сделать это так:<br><br>iptables -t NAT -A PREROUTING -d внешний_ip_шлюза -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.9<br><br>тогда адрес источника не меняется, сервак видит, что к нему обращаются из инета, добавил еще одно:<br><br>iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m tcp --dport 80 -j MASQUERADE<br><br>не работает. Такое ощущение, что не работает 2-е правило. Есть идеи?<br> https://opennet.me/openforum/vsluhforumID1/82345.html#6 Sun, 12 Oct 2008 17:56:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m <br>&gt;&gt;&gt;tcp --dport 80 -j MASQUERADE <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;не работает. Такое ощущение, что не работает 2-е правило. Есть идеи? <br>&gt;&gt;<br>&gt;&gt; с чем связано ощущение? всё должно работать <br>&gt;&gt;конкретней про ощущения <br>&gt;<br>&gt;Сервак изнутри видит реальный IP, с которого к нему обращаются. <br><br>tcpdump на внутреннем интерфейсе и ощущения станут более отчетливыми<br> https://opennet.me/openforum/vsluhforumID1/82345.html#5 Sun, 12 Oct 2008 17:45:12 GMT У меня работает вот так<br>iptables -t nat -A PREROUTING -p tcp -d внешний_ип_сервера --dport 80 -j DNAT --to-destination айпи_веб_сервера_в_локалке:80<br>И еще небуду умничать и выпендривоться но всеже прочитайте <br>http://www.opennet.ru/docs/RUS/iptables/<br> https://opennet.me/openforum/vsluhforumID1/82345.html#4 Sun, 12 Oct 2008 14:27:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;тогда адрес источника не меняется, сервак видит, что к нему обращаются из <br>&gt;&gt;инета, добавил еще одно: <br>&gt;&gt;<br>&gt;&gt;iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m <br>&gt;&gt;tcp --dport 80 -j MASQUERADE <br>&gt;&gt;<br>&gt;&gt;не работает. Такое ощущение, что не работает 2-е правило. Есть идеи? <br>&gt;<br>&gt; с чем связано ощущение? всё должно работать <br>&gt;конкретней про ощущения <br><br>Сервак изнутри видит реальный IP, с которого к нему обращаются.<br> https://opennet.me/openforum/vsluhforumID1/82345.html#3 Sat, 11 Oct 2008 05:48:50 GMT &gt;[оверквотинг удален]<br>&gt;iptables -t NAT -A PREROUTING -d внешний_ip_шлюза -p tcp -m tcp --dport <br>&gt;80 -j DNAT --to-destination 192.168.1.9 <br>&gt;<br>&gt;тогда адрес источника не меняется, сервак видит, что к нему обращаются из <br>&gt;инета, добавил еще одно: <br>&gt;<br>&gt;iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m <br>&gt;tcp --dport 80 -j MASQUERADE <br>&gt;<br>&gt;не работает. Такое ощущение, что не работает 2-е правило. Есть идеи? <br><br> с чем связано ощущение? всё должно работать<br>конкретней про ощущения<br><br> https://opennet.me/openforum/vsluhforumID1/82345.html#2 Fri, 10 Oct 2008 11:09:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt;инета, добавил еще одно: <br>&gt;&gt;<br>&gt;&gt;iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m <br>&gt;&gt;tcp --dport 80 -j MASQUERADE <br>&gt;<br>&gt;-t nat -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -j SNAT --to-source 192.168.1.1 <br>&gt;<br>&gt;<br>&gt;про "-p tcp -m tcp --dport 80" не знаю, может, тоже будет <br>&gt;работать. <br><br>не помогает.<br><br> https://opennet.me/openforum/vsluhforumID1/82345.html#1 Fri, 10 Oct 2008 10:19:17 GMT &gt;[оверквотинг удален]<br>&gt;принимать соединения из интернета как от шлюза <br>&gt;(шлюз должен маскировать адреса клиентов из инета своим)<br>&gt;iptables -t NAT -A PREROUTING -d внешний_ip_шлюза -p tcp -m tcp --dport <br>&gt;80 -j DNAT --to-destination 192.168.1.9 <br>&gt;<br>&gt;тогда адрес источника не меняется, сервак видит, что к нему обращаются из <br>&gt;инета, добавил еще одно: <br>&gt;<br>&gt;iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m <br>&gt;tcp --dport 80 -j MASQUERADE <br><br>-t nat -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -j SNAT --to-source 192.168.1.1<br><br>про "-p tcp -m tcp --dport 80" не знаю, может, тоже будет работать.<br>