On Wed, 28 May 2003 09:07:28 +0300 Alex 'CAVE' Cernat <[EMAIL PROTECTED]> wrote:
> salut > > hai ca intrebarea mea e oarecum din aceeasi oala, deci imi permit un > reply: > > ma intereseaza sa fac un full nat ( cu alte cuvinte sa am o > corespondenta 1:1 ip_real <-> ip_nerutabil ). Regulile de SNAT si DNAT > ar fi ceva in halul: > > iptables -t nat -I POSTROUTING -j SNAT -s $nerutabil -d any/0 > --to-source $real > iptables -t nat -I PREROUTING -j DNAT -s any/0 -d $real --to-dest > $nerutabil > ( nu va luati de --to-source si --to-dest, tre sa dau si un man > iptables, nu sunt mafalda sa le tin minte pe toate ) > > my question is: cele doua reguli nu s-ar putea sa se bata cap in cap ? > sau linuxul totusi e destul de destept sa faca mai intai 'reverse > snat', respectiv 'reverse dnat' (adica operatiile inverse de > snat/dnat, la pachetele de raspuns), inainte de a face SNAT/DNAT-urile > respective ? > > Alex > Teoretic nu au cum sa se bata in cap. Si pe lista s-a mai spus ca -t nat POSTROUTING -j SNAT nu face match decat la primul pachet din conexiune, restul sunt aruncat de conntrack direct unde trebuie si nu mai fac match pe regula. La fel ar trebui sa se faca si la -t nat PREROUTING -j DNAT Acel 'reverse dnat' de care spui ca ar trebui sa se faca intai este de fapt conntrack-ul care trimite pachetele unde le este locul. Cel putin eu asa am inteles, daca am gresit sa ma corecteze cineva
