On Wed, 2003-03-19 at 12:45, Gushterul wrote: > Este cumva de la rutele de pe A? Poate vede sursa de unde incerci in > LAN, sau nu are gatewayul default pe hostul unde faci DNAT. > Acum depinde si ce intelegi prin "de pe". A este ip-ul lu' eth0 sau > este in reteaua conectata la eth0?:)
Rutele lui A sunt ok. Firewall-ul nu interzice. (am ajuns, evident, sa dau jos tot in afara de NAT-uri pt testing). A este IP din reteaua de pe eth0, nu e alias al lui eth0. Sunt 3 computere distincte (4 daca il punem si pe ala "fantoma"): router-ul care functioneaza fara MASQ sau SNAT pt ca totul se routeaza normal, "serverul" A catre care vroiam sa ajung prin conectare la fantoma, computer-ul de pe care se face accesul. Daca plasez "A" in reteaua de pe eth1 schema functioneaza impecabil. Nu si in cazul in care pentr a ajunge la "A" nu trebuie sa trec prin router cu toate ca fantoma e accesibila doar prin router/gw. Sunt un pic pierdut pe aici :) Asa cum am zis, cred ca problema tine de faptul ca pachetul trimis catre fantoma, odata destinat iesirii pe eth1, nu poate fi intors prin regula mea de DNAT... Si ca sa continui the saga... am gasit si "solutia" :) Si culmea e ca s-a mai spus, dar nu am vazut legatura cu problema mea indeajuns de repede... Pe router aveam iptables -A PREROUTING -d fanoma --dport ftp -j DNAT --to server si mai trebuia sa adaug si un iptables -A POSTROUTING -d server --dport ftp -j SNAT --to ip_router Asta este solutia si functioneaza. Daca redirect-ul se face de pe portul FTP pe alt port, (DNAT --to server:port2), pe postrouting --dport-ul trebuie sa fie portul destinatie. In felul asta invat serverul sa comunice prin router, sa nu incerce sa raspunda direct clientului care habar nu are ca de fapt vorbeste cu cineva din propria retea. Thx :) (si scuze de repetara povestii) georgeb -- George Barbarosie <[EMAIL PROTECTED]> intelinet.ro SRL -- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
