- iptables,
 test, 10:01 , 13-Апр-07 (1)>Подскажите плиз для чего эти rule-ы ???
>
>
>#iptables -t nat -A PREROUTING -s 62.89.8.90 --dst 62.89.8.154
> -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18
>#iptables -t nat -A POSTROUTING -s 62.89.8.90 --dst 62.89.22.18
> -p tcp --dport 3128 -j SNAT --to-source
> 62.89.22.17
>#iptables -t nat -A OUTPUT -s 62.89.8.90
> --dst 62.89.8.154 -p tcp --dport 3128 -j
>DNAT --to-destination 62.89.22.18
это трансляция адресов т.е.
Первое правило - У всех пакетов уходящих с 62.89.8.90 на IP 62.89.8.154 и порт 3128 адрес назначения будет заменятся на 62.89.22.18
Второе правило - У всех пакетов уходящих с 62.89.8.90 на 62.89.22.18 и порт 3128 адрес источника будет заменятся на 62.89.22.17
Последнее правило транслирует адрес 62.89.8.90 в пакетах, исходящих от локальных процессов брандмауэра. - iptables, DarkAnge1, 10:07 , 13-Апр-07 (2)
...постараюсь ответить как мне это кажется...
итак условная схема сети
юзер1 --- роутер --- юзер2
юзер1 = 62.89.8.90
юзер2 = 62.89.22.18
при таких правилах юзер 2 видит юзера 1 с айпишником 62.89.22.17, а юзер 1 общается с юзером 2 используя айпи 62.89.8.154. Итого народ общается, но реальных адресов друг друга не знает, вернее, что бы было именно так, нехватает еще двух правил... Так что хз какие цели преследовал человек писавший эти правила... :) последние правило ваще не понятно...ЗЫ Очень вероятно, что я что-то не так понял
- iptables, test, 10:41 , 13-Апр-07 (3)
Вообщем получается так, скорей всего IP 62.89.8.90 это один из адрессов шлюза(комп где крутится iptables) закрепленный на какойнибудь сетевушки, я так думаю из за третьего правила.По первому правилу пакеты уходящие с 62.89.8.90 на адрис 62.89.8.154 и порт 3128(Наверно Squid proxy) будут уходить не на 62.89.8.154 а на 62.89.22.18.
По второму правилу пакеты уходящие на 62.89.22.18(т.е. включая пакеты с первого правила) от 62.89.8.90 ни когда не вернутся потомучто обратный IP(источника) заменится на 62.89.22.17
Третье правило делает тоже самое что и первое здесь оно избыточное. Вообще что бы понять логику нужно посмотреть весь листинг правил.
- iptables, DarkAnge1, 11:17 , 13-Апр-07 (4)
..ну, ИМХО, первое и третье правило не повторяю друг друга... и мне кажется, что логика отсутствует в использовании обоих т.к. исходящие от локальных процессов пакеты никогда не пройдут через PREROUTING, а проходящие не пройдут через OUTPUT итого не понятно 62.89.8.90 это адрес сетевухи машины на которой крутится iptables или все таки где-то далеко :) а насчет не вернется... у меня подозрения, что есть NAT таблица через которую адреса изменяется обратно и пакеты таки возвращаются...
|
Версия для распечатки
iptables, 
