форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проблема с DNAT в iptables"
Сообщение от NickT on 28-Окт-02, 15:14  (MSK)
Проблема с DNAT в iptables Редиректю входящий http траффик c роутера на внутренний хост с апачем iptables -t nat -A PREROUTING -d 111.111.111.111 --dport 80 -j DNAT --to-destination 192.168.0.1 #(типа маскарадинг чтобы ответы от апача проходили) iptables -t nat -A POSTROUTING -ы 192.168.0.1 -o eth0 -j SNAT --to-source 111.111.111.111 все бегает, транзитные пакеты ходят нормально, но одна проблема на роутере стоит сквид и исходящие пакеты от сквила естественно не проходят через PREROUTING. Поэтому добавляю: iptables -t nat -A OUTPUT -d 111.111.111.111 --dport 80 -j DNAT --to-destination 192.168.0.1 смотрю netstat... соединение в состоянии syn_sent, на машине с апачем syn_recv и все ;((( дальше не работает. получается пакеты от сквида идут на 111.111.111.111, а ответы приходят с 192.168.0.1, т.к. входящие пакеты для сквида не проходят POSTROUTING. В INPUTe нельзя приименять SNAT. Гуру iptables что делать ? С приветом, Ник ;)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Проблема с DNAT в iptables"
Сообщение от and on 28-Окт-02, 15:45  (MSK)
>Проблема с DNAT в iptables >Редиректю входящий http траффик c роутера на внутренний хост с апачем >iptables -t nat -A PREROUTING -d 111.111.111.111 --dport 80 -j DNAT --to-destination >192.168.0.1 > >#(типа маскарадинг чтобы ответы от апача проходили) iptables -t nat -A POSTROUTING >-ы 192.168.0.1 -o eth0 -j SNAT --to-source 111.111.111.111 > >все бегает, транзитные пакеты ходят нормально, но одна проблема на роутере стоит >сквид и исходящие пакеты от сквила естественно не проходят через PREROUTING. Исходящие пакеты и не должны проходить через PREROUTING. >Поэтому добавляю: iptables -t nat -A OUTPUT -d 111.111.111.111 --dport 80 >-j DNAT --to-destination 192.168.0.1 это вообще бредовое правило, выкинь его (DNAT в OUTPUT не юзается). >смотрю netstat... соединение в состоянии syn_sent, на >машине с апачем syn_recv и все ;((( дальше не работает. получается >пакеты от сквида идут на 111.111.111.111, а ответы приходят с 192.168.0.1, >т.к. входящие пакеты для сквида не проходят POSTROUTING. В INPUTe нельзя >приименять SNAT. >Гуру iptables что делать ? читать доки по iptables >С приветом, Ник ;) У меня точно такая же конфигурация и все работает.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Проблема с DNAT в iptables"
	Сообщение от NickT on 28-Окт-02, 16:29  (MSK)
	>>сквид и исходящие пакеты от сквила естественно не проходят через PREROUTING. > >Исходящие пакеты и не должны проходить через PREROUTING. Я где-то говорил что они должны ? > >>Поэтому добавляю: iptables -t nat -A OUTPUT -d 111.111.111.111 --dport 80 >>-j DNAT --to-destination 192.168.0.1 >это вообще бредовое правило, выкинь его (DNAT в OUTPUT не юзается). Note that the DNAT target is only available within the PREROUTING and OUTPUT chains in the nat table, and any of the chains called upon from any of those listed chains. Так что советую перед тем как отвечать, самому быть уверенным в своих словах. >>Гуру iptables что делать ? >читать доки по iptables Тот же совет и в Ваш адрес. > >>С приветом, Ник ;) > >У меня точно такая же конфигурация и все работает. Так правила в студию ! С приветом, Ник ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Проблема с DNAT в iptables"
	Сообщение от and on 28-Окт-02, 16:52  (MSK)
	iptables -A FORWARD -s 192.168.0.1 -j ACCEPT iptables -A FORWARD -d 192.168.0.1 -j ACCEPT iptables -t nat -A PREROUTING -d 111.111.111.111 --dport 80 -j DNAT --to-destination 192.168.0.1:80 iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j SNAT --to-source 111.111.111.111
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Проблема с DNAT в iptables"
	Сообщение от NickT on 28-Окт-02, 17:18  (MSK)
	>iptables -A FORWARD -s 192.168.0.1 -j ACCEPT >iptables -A FORWARD -d 192.168.0.1 -j ACCEPT > >iptables -t nat -A PREROUTING -d 111.111.111.111 --dport 80 -j DNAT --to-destination >192.168.0.1:80 > >iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j SNAT --to-source >111.111.111.111 Это будет редиректить только для транзитных пакетов. Ну вот попробуйте на роутере набрать telnet 111.111.111.111 80 и увидите, что для локальных приложений ничего не редиректиться
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Проблема с DNAT в iptables"
	Сообщение от and on 28-Окт-02, 17:57  (MSK)
	>>iptables -A FORWARD -s 192.168.0.1 -j ACCEPT >>iptables -A FORWARD -d 192.168.0.1 -j ACCEPT >> >>iptables -t nat -A PREROUTING -d 111.111.111.111 --dport 80 -j DNAT --to-destination >>192.168.0.1:80 >> >>iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j SNAT --to-source >>111.111.111.111 >Это будет редиректить только для транзитных пакетов. >Ну вот попробуйте на роутере набрать telnet 111.111.111.111 80 >и увидите, что для локальных приложений ничего не редиректиться для локальных приложений, в локальной сети создается свой домен(DNS).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Проблема с DNAT в iptables"
	Сообщение от NickT on 29-Окт-02, 08:51  (MSK)
	>для локальных приложений, в локальной сети создается свой домен(DNS). некрасиво;( кто-то знает как это сделать только средствами iptables
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Проблема с DNAT в iptables"
	Сообщение от and on 29-Окт-02, 10:31  (MSK)
	>>для локальных приложений, в локальной сети создается свой домен(DNS). >некрасиво;( >кто-то знает как это сделать только средствами iptables согласен, но в большенстве организаций все равно существуют свои внутрении домены.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.