> bun, voi discutati, eu cred versiunea ca SNAT merge ok, dar ce imi > scapa? chestia cu 1 > ip_forward e pusa. > > de fapt, daca bag instructiunea cu MASQURADE, merge > > imi lipseste vreun modul ip_*.o care nu se insereaza automat?
ar fi tare bine daca ai expune EXACT care e problema. in mesajul initial ai fost cam eliptic. nu ar strica sa spui si cum sint asignate/routate IP-urile pe care le folosesti in SNAT (detalii mai jos) diferenta intre MASQ si SNAT este ca MASQ presupune ca interfata face flip/flop si ca atare nu mai incearca sa mentina conexiunile in starea ESTABLISHED. cu titlu general: asigura-te ca pt conexiunile pe care incerci sa le creezi ai posibilitatea de a fi vazut dinspre lume. O posibila eroare [pe care si eu o mai comit ocazional] este ceva de genul urmator: - interfata externa are IP 1.2.3.4 (atentie, doar acest IP) - ISP-ul a pus la dispozitie inca un numar oarecare de IP-uri (sa zicem 1.2.3.5, 1.2.3.6) care insa, atentie, NU sint rutate prin 1.2.3.4 ci sint vazute ca 'direct connected' si sint din aceeasi subclasa cu IP-ul 1.2.3.4 Morala: nimic nu impiedica utilizarea unei reguli cam asa: iptables -A POSTROUTING -t nat -j SNAT --to 1.2.3.5-1.2.3.6 Aparent totul e OK,nimeni nu plinge. Doar ca nici nu merge. De ce? Un tcpdump pe interfata externa o sa arate ca ruterului de deasupra nu ii raspunde nimeni cind face arp-request dupa 1.2.3.5 si 1.2.3.6. Ca sa mearga ar trebui ca acel ruter sa aiba 2 rute de host, de genul ip r a 1.2.3.5 via 1.2.3.4 ip r a 1.2.3.6 via 1.2.3.4 evident, in acest caz probabil e mai simplu sa se adauge cele 2 IP-uri interfetei externe. dar cind ai mai multe ... -- "Passwords are like bubble gum: Strongest when fresh. Should be used by an individual, not a group. If left laying around, will create a sticky mess." --- Detalii despre listele noastre de mail: http://www.lug.ro/
