Re: iptables DNAT

Artem Chuprina Fri, 30 Jun 2006 22:20:16 -0700

Viktor V Kudlak -> [email protected]  @ Fri, 30 Jun 2006 22:10:03 
+0000:


 >>  >>  VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
 >>  >>  VVK>> --to-destination 10.32.13.1
 >>  >>  VVK>> iptables -t nat -A PREROUTING -j DNAT -p udp -d 80.93.50.70
 >>  >>  VVK>> --to-destination 10.32.13.1
 >>  >>  VVK>> iptables -A FORWARD -i eth0 -d 10.32.13.1 -j ACCEPT
 >>  >>
 >>  >>  VVK>> но, из тестов видно, что если и пробрасывается айпишка, то из 
 >> вне до
 >>  >>  VVK>> машины не достучаться :-(
 >>  >>
 >>  >>  AC> Что форвардинг разрешен, видно.  А включен?
 >>  >>
 >>  >> И да, видно, что он разрешен в одну сторону...
 >>  >>
 >>
 >>  VVK> так а что делать то?! как в другую сторону разрешить?
 >>  VVK> каких правил не хватает?
 >>
 >> Вероятнее всего -
 >>
 >> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

 VVK> не прошло, по прежнему не проходят пакету ((

 VVK> srv05:/home/mega# iptables-save
 VVK> # Generated by iptables-save v1.3.3 on Sat Jul  1 02:09:42 2006
 VVK> *nat
 VVK> :PREROUTING ACCEPT [1949751:140271634]
 VVK> :POSTROUTING ACCEPT [1207000:89031901]
 VVK> :OUTPUT ACCEPT [1202939:88778322]
 VVK> -A PREROUTING -d 80.93.50.70 -p tcp -j DNAT --to-destination 10.32.13.1
 VVK> -A PREROUTING -d 80.93.50.70 -p udp -j DNAT --to-destination 10.32.13.1
 VVK> COMMIT
 VVK> # Completed on Sat Jul  1 02:09:42 2006
 VVK> # Generated by iptables-save v1.3.3 on Sat Jul  1 02:09:42 2006
 VVK> *filter
 VVK> :INPUT ACCEPT [65812288:10819971428]
 VVK> :FORWARD ACCEPT [8918:1207937]
 VVK> :OUTPUT ACCEPT [83236192:90660546465]
 VVK> -A FORWARD -d 80.93.50.70 -i eth0 -j ACCEPT
 VVK> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 VVK> COMMIT
 VVK> # Completed on Sat Jul  1 02:09:42 2006

Тут вообще ACCEPT по умолчанию...  Прочитал все письма еще раз.  Не
нахожу проблемы.  Может, невнимательно смотрю.  tcpdump в руки (на
роутере, на оба интерфейса) и смотреть.  Добавить правило -A FORWARD -j
LOG и посмотреть, что кажут в логе...

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED]

Если ты не боишься синего экрана, то почему боишься черного?
        (c) Д.Белявский


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: iptables DNAT

Ответить