pare in regula la prima vedere (nu stiu de ce te-ai complicat cu chain-uri in plus, dar in fine, daca ti-e mai usor atunci asa sa fie - de fapt vad ca si loghezi pe acolo, e mai simplu de gandit asa)
o singura nedumerire am: sigur e eth1 interfata pe care vin pachetele de dnat-uit ? cred ca nu ar strica si un mic de ascii art, cu schema retelei (adica cele 3 calculatoare din problema), pe ce eth-uri sunt conectate, eventual ceva adrese ip (pe bune sau 'pireli', dupa cum preferi sa divulgi informatiile - oricum sunt deja in tcpdump) On 9/27/2012 9:02 AM, alex alex wrote: > Salut, > am nevoie de un cap limpede in setarea unui DNAT. > Pe scurt,am 3 calculatoare (A,B,C). B face masquerade (iptables) pentru A. > In acelasi timp, C trimite pachete UDP catre B, la un port specific (1234). > Vreau ca acele pachete sa ajunga la A. > Ce am facut: > iptables -t nat -N forward_to_server > iptables -t nat -A forward_to_server -j LOG --log-prefix " [>] New Forward" > iptables -t nat -A forward_to_server -p udp -j DNAT --to 172.16.116.142:9996 > iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1234 -j > forward_to_server > > > Rezultatul este > > iptables -L -n -v -t nat > Chain PREROUTING (policy ACCEPT 6837 packets, 668K bytes) > pkts bytes target prot opt in out source > destination > 0 0 forward_to_server udp -- eth1 * 0.0.0.0/0 > 0.0.0.0/0 udp dpt:1234 > > Chain POSTROUTING (policy ACCEPT 9350 packets, 785K bytes) > pkts bytes target prot opt in out source > destination > 33527 2914K MASQUERADE all -- * eth1 0.0.0.0/0 > 0.0.0.0/0 > 65 5460 MASQUERADE all -- * eth2 0.0.0.0/0 > 0.0.0.0/0 > > Chain OUTPUT (policy ACCEPT 36414 packets, 3058K bytes) > pkts bytes target prot opt in out source > destination > > Chain forward_to_server (1 references) > pkts bytes target prot opt in out source > destination > 0 0 LOG all -- * * 0.0.0.0/0 > 0.0.0.0/0 LOG flags 0 level 4 prefix ` [>] New Forward' > 0 0 DNAT udp -- * * 0.0.0.0/0 > 0.0.0.0/0 to:172.16.116.142:9996 > > Totusi, nici un pachet nu atinge regula mea din Prerouting (cel putin asa > pare), desi nu am alte filtre (celalalte tabele sunt policy ACCEPT). > Desigur, in acest timp exista pachete care vin catre B, numai ca nu sunt > selectate. > 08:56:09.311323 IP 10.199.25.58.65522 > 172.20.44.36.1234: UDP, length 1464 > 08:56:09.365042 IP 10.199.25.58.65522 > 172.20.44.36.1234: UDP, length 1464 > 08:56:09.365075 IP 172.20.44.36 > 10.199.25.58: ICMP 172.20.44.36 udp port > 1234 unreachable, length 556 > Simt ca imi lipseste ceva, dar nu stiu ce. M-ar ajuta un hint care sa ma > scoata din blocaj. > Multumesc, > alex > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
