On Fri, 23 Feb 2001 01:51:39 +0000 (GMT)
Carles Pina i Estany <[EMAIL PROTECTED]> wrote:
>
> Hola
>
> Pues que mirando los howto's de NAT y IPTABLES, me estoy liando un poco...
> porqu� ahora el Masquerade no se hace dentro de FORWARD sin� con la tabla
> NAT.
>
> Es decir, si una regla la tengo en FORWARD y en la tabla de NAT, cual
> har�? har� un simple FORWARD? o me har� el NAT completo?
>
> Esta es la ra�z del problema que tengo que coment� en otro mail, y donde
> me pierdo... al controlar este tema.
Intui que este ser�a tu problema. Si prestas atenci�n en los Howto's,
notar�s que masquerading est� siendo hecho en el �ltimo momento de
salir de la tarjeta (postrouting) y en el primer momento despu�s de
entar por la tarjeta (prerouting). La consequencia es que todas las
otras tablas, incluindo aquellas para las rutas, s�lo ven las
direcciones locales. M�rate bien el ascii art que el autor pone: las
tables INPUT y OUTPUT s�lo son para el tr�fico con el firewall mismo;
lo que pasa por la tabla FORWARD no va a pasar por INPUT o OUTPUT. Y
adem�s, entre FORWARD y las tablas de la NAT est� el ruteamento. Lo
que es acceptado por la tablea FORWARD es tr�fico que viene de otra
m�quina local y va en direcci�n a la Internet, o al rev�s, que viene
de la Internet pero debe ir a otra m�quina interna. As� que la tabla
FORWARD dice quien puede pasar, y la tabla NAT dice como cambiar la
direcci�n para que el invento funcione.
El manual de iptables dice sobre MASQUERADING:
MASQUERADE
This target is only valid in the nat table, in the
POSTROUTING chain. It should only be used with dynami�
cally assigned IP (dialup) connections: if you have a
static IP address, you should use the SNAT target...
Por lo menos esto es lo que yo he entendido hasta ahora.
--
Christoph Simon
[EMAIL PROTECTED]
---
^X^C
q
quit
:q
^C
end
x
exit
ZZ
^D
?
help
shit
.
