Исходное сообщение
"вопрос по прохождению пакета" Отправлено CHIM.86, 22-Мрт-11 18:43
> не нужно их прокидывать, не к тому месту вы этот термин применяете. > в данном случае вы просто разрешаете их прохождение и делаете для > них SNAT ( меняете адрес источника в пакете). прокидывают это когда > меняют адрес назначения (DNAT). Понял. Исправлюсь))) > если уверены что за всем уследили и хочется плодить для каждого разрешенного > отдельное правило - ради бога. Для разрешённых уверен, уже раз 100 проверил и столько же проверю когда смогу разрешить доступ по SNAT. > если нужно только с этого диапазона, при других не пускать, исправте правило > в таблице фильтров. только какая гарантия что у клиента будут использованы > только эти порты. > что это за программа, если торрент то вы можете ошибиться. А разве это правило не пропустит этот диапазон портов? -A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT Мы ведь здесь разрешаем с определённым портом назначения оставляя свободную лазейку для исходящих портов. И как я вижу по логам порты прходят все цепочки в плоть до POSTROUTING. >> Клиент как обычно открывает на своей машине порт для инициализации соединения из >> диапазона свободных портов. И отправляет пакет на порт 5000 во внешнюю >> сеть интернет на inet_ip > тут разрешить в таблице фильтров, опять же: -A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT > сделать snat как показывал, Если вы это имеете ввиду > -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более то мне не нужно весь интерфейс(я так понимаю eth2) перенаправлять а только отдельные порты отдельных IP. И если учесть этот критерий > В том то и дело что не для всех а только для него. Нужно именно этому IP дать доступ в интернет по произвольному порту 3000-4000 на машину в интернете на порт 5000 То верна ли такая запись? -A POSTROUTING -p tcp -s 192.168.10.3 --dport 5000 -j SNAT --to-source my_inet_ip Под my_inet_ip имеется ввиду ip адрес выданный мне провайдером и > echo 1 > /proc/sys/net/ipv4/ip_forward Это включено > при этом у клиента должен быть прописан шлюз и dns. Шлюз прописан как 192.168.10.10, а вот dns не прописывал. Такой же прописывать как и в модеме? > все, нет тут проброса, а вот если вы захотите перехватить этот пакет > и отправить не туда куда его отправил клиент, тогда уже и > будет проброс. Это если бы можно было бы его завернуть на прокси а потом из прокси вывернуть в интернет на ту самую машину на тот самый порт, то да. Но это уже по моему извращенство. >>>> P.S. Большое спасибо вам за ответы и ваше терпение.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> не нужно их прокидывать, не к тому месту вы этот термин применяете. >> в данном случае вы просто разрешаете их прохождение и делаете для >> них SNAT ( меняете адрес источника в пакете). прокидывают это когда >> меняют адрес назначения (DNAT). > Понял. Исправлюсь))) >> если уверены что за всем уследили и хочется плодить для каждого разрешенного >> отдельное правило - ради бога. > Для разрешённых уверен, уже раз 100 проверил и столько же проверю когда > смогу разрешить доступ по SNAT. >> если нужно только с этого диапазона, при других не пускать, исправте правило >> в таблице фильтров. только какая гарантия что у клиента будут использованы >> только эти порты. >> что это за программа, если торрент то вы можете ошибиться. > А разве это правило не пропустит этот диапазон портов? > -A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT > Мы ведь здесь разрешаем с определённым портом назначения оставляя свободную лазейку для > исходящих портов. И как я вижу по логам порты прходят все > цепочки в плоть до POSTROUTING. >>> Клиент как обычно открывает на своей машине порт для инициализации соединения из >>> диапазона свободных портов. И отправляет пакет на порт 5000 во внешнюю >>> сеть интернет на inet_ip >> тут разрешить в таблице фильтров, > опять же: > -A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT > -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT >> сделать snat как показывал, > Если вы это имеете ввиду >> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более > то мне не нужно весь интерфейс(я так понимаю eth2) перенаправлять а только > отдельные порты отдельных IP. > И если учесть этот критерий >> В том то и дело что не для всех а только для него. Нужно именно этому IP дать доступ в интернет по произвольному порту 3000-4000 на машину в интернете на порт 5000 > То верна ли такая запись? > -A POSTROUTING -p tcp -s 192.168.10.3 --dport 5000 -j SNAT --to-source my_inet_ip > Под my_inet_ip имеется ввиду ip адрес выданный мне провайдером > и >> echo 1 > /proc/sys/net/ipv4/ip_forward > Это включено >> при этом у клиента должен быть прописан шлюз и dns. > Шлюз прописан как 192.168.10.10, а вот dns не прописывал. Такой же прописывать > как и в модеме? >> все, нет тут проброса, а вот если вы захотите перехватить этот пакет >> и отправить не туда куда его отправил клиент, тогда уже и >> будет проброс. > Это если бы можно было бы его завернуть на прокси а потом > из прокси вывернуть в интернет на ту самую машину на тот > самый порт, то да. Но это уже по моему извращенство. >>>>> P.S. Большое спасибо вам за ответы и ваше терпение.
	Введите код, изображенный на картинке: