On Wed, Nov 07, 2007 at 10:34:19PM +0100, Ilk Balázs Ferenc wrote: > Sziasztok, > > > > # iptables -A FORWARD -p tcp -d 192.168.1.1 --dport 8000 -j ACCEPT > > Itt bejon egy 192.168.1.1-es gep a kepbe... > Ezt véletlen elírtam. Helyesen (?) így lenne: > # iptables -A FORWARD -p tcp -d 192.168.15.4 --dport 8000 -j ACCEPT > > Egyébként olvasgattam a leírásokat, de azt nem értem leginkább, hogy > mit is kellene "mondanom" az iptables-nak, hogy a belső gép a > szerveren keresztül tudjon kapcsolódni egy távoli gép 8000-es > portjához és az visszafele tudjon adatokat küldeni a belső gép 8000-es > portjára. Azaz melyik láncokat kellene használni... > > Én a következőt agyaltam ki, bár sztem rossz: > # adj szabályt a [FORWARD] lánchoz, ha a [protokoll TCP] és [a bejövő > port eth1 (helyi hálózat)] és [a forrás IP 192.168.15.0/24] és [a cél > port 8000] akkor [ÁTIRÁNYÍTOM] az internetre [a ppp0-ra (kimenő > interfészre)] > > # adj szabályt a [FORWARD] lánchoz, ha a [protokoll TCP] és [a bejövő > interfész ppp0] és [a cél port 8000] akkor [TOVÁBBÍTOM] az [eth1-re > (belső hálózat interfészre)] > > Szerintem ez így hiányos... Mit hagyok ki a logikából?
Az a sejtesem, hogy Te itt vmit keversz ill. nem ismered jol a programod (bocs). Nem arrol van szo, hogy Te kapcsolodsz a kulso szerver 8000-es portjara, es azon beszelgetsz? Mert az visszafele automatikusan tortenik, visszafele nmem kell semmit iranyitanod, max. engedelyezned. Ez olyan, mintha az a 8000-es port csak egy 80-as (http) port lenne, nem kell mas, mint: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to <kulso ip cime> Es a belso gep tud kommunikalni az internet barmely gepevel. Tovabb ugy finomitod, ahogy akarod. A legjobb amugy, ha MASQUERADE-t hasznalsz (man iptables). tompos _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
