Andrei Den wrote: > Pun regula. Si respectivul MAC/IP nu se poate > conecta niciunde.... dar pe IP-ul unde il redirectez > (DNAT) se poate conecta. > > Va dau din nou un paste la regula. > > iptables -t nat -I PREROUTING -p tcp --dport 80 -m mac > --mac-source xx:xx:xx:xx:xx:xx -j DNAT --to <IP>:80
Cumva iti redirectezi "prietenii" dintr-un LAN spre un IP tot din LAN? Daca da, va trebui sa faci si un SNAT, nu va fi suficient doar DNAT. Daca ai $IP-$ROUTER_IP-$XIP, unde $XIP e tot in LAN, faci: iptables -t nat -I PREROUTING -p TCP -s $IP --dport 80 -j DNAT --to $XIP iptables -t nat -I POSTROUTING -p TCP -s $IP --dport 80 -d $XIP -j SNAT --to $ROUTER_IP De ce trebuie sa faci asta? Pentru ca daca nu faci asa, $XIP va vedea pachete care vin de la $IP si va trimite raspunsuri catre el, dar ala saracu' nu stie nimic si nu va intelege de ce $XIP ii trimite raspuns, el nu l-a intrebat nimic pe $XIP. Clar, neclar? Google for more. -- GRN Temet Nosce --- Detalii despre listele noastre de mail: http://www.lug.ro/
