On Wednesday 21 November 2001 12:34 pm, Ingvarr Zhmakin wrote: > > > > > > > -j DNAT --to-destination <local_ip>:<port> > > > > > > > и > > > > > > > -j REDIRECT --to-port <port> > > > > Я не видел тех FM о которых ты пишешь, судя по всему феня в том что > > пользователи думают что соединяются с скажем www.yahoo.com а твой > > gateway их при помощи REDIRECT и какой-то матери втихаря ( > > transparently ) переправляет на свой собственный порт на котором сидит > > squid. > > Вай! Моя пупеть, но не понимать. :-( > Идет пакет на 1.2.3.4:80. > "-j DNAT --to-destination x.y.z.t:3128" его пошлет куда написано. > А "-j REDIRECT --to-port 3128" -- на какой ip??? >
Хммм... после повторного перечтения man ipatbles я тоже медленно начинаю пупеть. Почему --to-ports а не --to-port? Не знаю. Но и manpage и исходники от REDIRECT говорят одно. Перехватываем пакет и отправляем на свой собственный адрес. На указанный порт... Или порты... Вот так. То есть я так понимаю, что правило iptables -A output -i eth0 -tcp -p 80 -j REDIRECT --to-ports 8080 перенаправит все что пытается пройти через твой eth0 наружу на адрес самого eth0 т. е. предоставит gateway самому разбираться с пакетами вместо того чтоб форвардить.
