>>>Здравствуйте, Всем! >>> >>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. >>> >>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски >>>портов на компьтеры в локальной сети для работы с directconnect`ом >>>(конкретно StrongDC), делаю это следующим образом: >>> >>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j >>>/ >>>DNAT --to-destination $comp1_IP >>> >>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j >>>/ >>>DNAT --to-destination $comp2_IP >>> >>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j >>>/ >>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. >>> >>>FORWARD тоже разрешен. >>> >>>Проблема в том, что работает это все только на одной машине в >>>сети (и только >>>на ней, даже если менять айпишники и порты на других тачках на >>>айпи и порт >>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что >>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). >>> >>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware >>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). >>> >>>Что посоветуют уважаемые Гуру? >>> >>>----- >>> >>>With Best Regards! >> >> >>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, >>а от тебя SNAT --sport 1100 и так же другие считаешь >>не нужно прописать? >ну что за чушь однако... во первых, а надо ли этому протоколу >вообще встречные соединения устанавливать? или вы не в курсе, что для >таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются >автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно >/proc/net/ip_conntrack)? >во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle >as little as possible". это значит, что если для "исходящих" прописан >хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять >же если src port важен протоколу) src port будет сохраняться у >всех исходящих. а значит должны работать все. >кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень >сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований > >\^P^/ Может уважаемый Гуру подскажет как это можно исправить? Есть ли другие способы для форвардинга соединений, кроме DNAT`а?
|