Re: iptables: REDIRECT and DNAT
Покотиленко Костик [EMAIL PROTECTED] wrote: В Срд, 13/08/2008 в 16:35 +0400, Andrey Melnikoff пишет: Покотиленко Костик [EMAIL PROTECTED] wrote: Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. Не знаю в чём у Вас дело, но могу дать совет: если изменяешь правила [S| D]NAT и видешь что они не срабатывают - сделай: conntrack -F. Дело в том, что conntrack *мог* увидеть пакет до того как Вы вставили правило, Не мог - пакеты UDP. Мог, и скорее всего так и было. Хоть UDP и connectionless, conntrack Есть активный клиент, который всё время обращается к DNS серверу. Так вот при DNATe на другую машину - половина запросов попадала в DNAT и уходила на другую машину, половина - попадала на эту. расценивает его иначе, соединением UDP в понимании conntrack является UDP трафик вида: для запроса port1-port2, и для ответа port2-port1 в течении некоторого таймаута. Это то понятно... соответственно в таблице conntrack создалась запись и пакеты этого соединения уже в таблицу nat не попадут. у меня дело в том, что у пакетов не меняется DST. Причем - хаотично, без всяких на то причин. То пакет попадет в NAT, то проскочит мимо. не меняется DST или меняется? И, DST, это IP или порт? Пакет не попадает в DNAT, значит не меняется DSTIP Пакет может не попасть в DNAT либо если он уже обрабатывается системой conntrack (то есть он не первый) либо если он не проходит правило в iptables и начинает обрабатываться conntrack без DNAT, правильно ведь? Иначе то как? Да фиг его знает - пересобрал тестовый стенд - всё работает как надо.. Что это было - остается загадкой. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Пнд, 11/08/2008 в 20:14 +0400, Andrey Melnikoff пишет: Покотиленко Костик [EMAIL PROTECTED] wrote: В Вто, 29/07/2008 в 20:01 +0400, Andrey Melnikoff пишет: Покотиленко Костик [EMAIL PROTECTED] wrote: В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет: Покотиленко Костик пишет: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. Не знаю в чём у Вас дело, но могу дать совет: если изменяешь правила [S| D]NAT и видешь что они не срабатывают - сделай: conntrack -F. Дело в том, что conntrack *мог* увидеть пакет до того как Вы вставили правило, Не мог - пакеты UDP. Мог, и скорее всего так и было. Хоть UDP и connectionless, conntrack расценивает его иначе, соединением UDP в понимании conntrack является UDP трафик вида: для запроса port1-port2, и для ответа port2-port1 в течении некоторого таймаута. соответственно в таблице conntrack создалась запись и пакеты этого соединения уже в таблицу nat не попадут. у меня дело в том, что у пакетов не меняется DST. Причем - хаотично, без всяких на то причин. То пакет попадет в NAT, то проскочит мимо. не меняется DST или меняется? И, DST, это IP или порт? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
Покотиленко Костик [EMAIL PROTECTED] wrote: Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. Не знаю в чём у Вас дело, но могу дать совет: если изменяешь правила [S| D]NAT и видешь что они не срабатывают - сделай: conntrack -F. Дело в том, что conntrack *мог* увидеть пакет до того как Вы вставили правило, Не мог - пакеты UDP. Мог, и скорее всего так и было. Хоть UDP и connectionless, conntrack Есть активный клиент, который всё время обращается к DNS серверу. Так вот при DNATe на другую машину - половина запросов попадала в DNAT и уходила на другую машину, половина - попадала на эту. расценивает его иначе, соединением UDP в понимании conntrack является UDP трафик вида: для запроса port1-port2, и для ответа port2-port1 в течении некоторого таймаута. Это то понятно... соответственно в таблице conntrack создалась запись и пакеты этого соединения уже в таблицу nat не попадут. у меня дело в том, что у пакетов не меняется DST. Причем - хаотично, без всяких на то причин. То пакет попадет в NAT, то проскочит мимо. не меняется DST или меняется? И, DST, это IP или порт? Пакет не попадает в DNAT, значит не меняется DSTIP -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Срд, 13/08/2008 в 16:35 +0400, Andrey Melnikoff пишет: Покотиленко Костик [EMAIL PROTECTED] wrote: Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. Не знаю в чём у Вас дело, но могу дать совет: если изменяешь правила [S| D]NAT и видешь что они не срабатывают - сделай: conntrack -F. Дело в том, что conntrack *мог* увидеть пакет до того как Вы вставили правило, Не мог - пакеты UDP. Мог, и скорее всего так и было. Хоть UDP и connectionless, conntrack Есть активный клиент, который всё время обращается к DNS серверу. Так вот при DNATe на другую машину - половина запросов попадала в DNAT и уходила на другую машину, половина - попадала на эту. расценивает его иначе, соединением UDP в понимании conntrack является UDP трафик вида: для запроса port1-port2, и для ответа port2-port1 в течении некоторого таймаута. Это то понятно... соответственно в таблице conntrack создалась запись и пакеты этого соединения уже в таблицу nat не попадут. у меня дело в том, что у пакетов не меняется DST. Причем - хаотично, без всяких на то причин. То пакет попадет в NAT, то проскочит мимо. не меняется DST или меняется? И, DST, это IP или порт? Пакет не попадает в DNAT, значит не меняется DSTIP Пакет может не попасть в DNAT либо если он уже обрабатывается системой conntrack (то есть он не первый) либо если он не проходит правило в iptables и начинает обрабатываться conntrack без DNAT, правильно ведь? Иначе то как? Я сталкивался с проблемами DNAT'а UDP. Есть сервер авторизации по UDP, который шлёт ответ либо не с того порта, на который шёл запрос, либо не на тот порт с которого шёл запрос (не помню), то есть: (запрос порт1-порт2, а ему ответ порт3-порт1) или (запрос порт1-порт2, а ему ответ порт2-порт3) Естественно, в этом случае DNAT, а точнее unDNAT не срабатывает, пришлось для этого сервера сделать исключение и пускать без DNAT. В новой версии всё исправили, но пока руки не доходят. С DNS'ом такого замечено не было. Рекомендую проверить как видит то соединение conntrack командой conntrack -L, и проверить счётчики правила с DNAT'ом в iptables, чтобы убедиться что пакеты не проходят мимо. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
Покотиленко Костик [EMAIL PROTECTED] wrote: В Вто, 29/07/2008 в 20:01 +0400, Andrey Melnikoff пишет: Покотиленко Костик [EMAIL PROTECTED] wrote: В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет: Покотиленко Костик пишет: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. Не знаю в чём у Вас дело, но могу дать совет: если изменяешь правила [S| D]NAT и видешь что они не срабатывают - сделай: conntrack -F. Дело в том, что conntrack *мог* увидеть пакет до того как Вы вставили правило, Не мог - пакеты UDP. соответственно в таблице conntrack создалась запись и пакеты этого соединения уже в таблицу nat не попадут. у меня дело в том, что у пакетов не меняется DST. Причем - хаотично, без всяких на то причин. То пакет попадет в NAT, то проскочит мимо. Впрочем, будем ждать RAWNAT, там хоть можно будет самому рулить что-куда. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Вто, 29/07/2008 в 20:01 +0400, Andrey Melnikoff пишет: Покотиленко Костик [EMAIL PROTECTED] wrote: В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет: Покотиленко Костик пишет: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. Не знаю в чём у Вас дело, но могу дать совет: если изменяешь правила [S| D]NAT и видешь что они не срабатывают - сделай: conntrack -F. Дело в том, что conntrack *мог* увидеть пакет до того как Вы вставили правило, соответственно в таблице conntrack создалась запись и пакеты этого соединения уже в таблицу nat не попадут. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
Покотиленко Костик [EMAIL PROTECTED] wrote: В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет: Покотиленко Костик пишет: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. Щаз. Оно иногда умудряется пропускать UDP пакеты мимо. в простой конфигурации: на сервере 192.168.0.1 висит на 1812-1813 radius сервер. В iptables'ах есть два DNAT редиректа вида iptables -t nat -A PREROUTING -p udp --dport 1812 -j DNAT --to-destination 10.10.10.5 iptables -t nat -A PREROUTING -p udp --dport 1813 -j DNAT --to-destination 10.10.10.5 10.10.10.5 доступен через tunl1. Работающий на 192.168.0.1 радиус сервер всеравно хватает пакеты, которые должны быть отпавленны DNAT'ом в другой сервер. PS: От роутинга (i.e. проходит ответный пакет через эту-же машину или нет) ситуация не зависит. Пробовалось так-же на DNS серверах с таким-же успехом. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет: Покотиленко Костик пишет: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Но он не все транзитные соединения перенаправляет на локальную машину, Какие скажешь, такие и перенаправит. т.к. REDIRECT действует только в цепочках nat/PREROUTING и nat/OUTPUT. Мало? Например, к filter/FORWARD это действие уже не применимо. Зачем? :-D NAT в filter??? Почитайте доки. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Чтв, 17/07/2008 в 01:47 +0400, Alexander Tyurin пишет: Artem Chuprina пишет: Alexander Tyurin - Debian-Russian @ Thu, 17 Jul 2008 00:33:33 +0400: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). AT Но он не все транзитные соединения перенаправляет на локальную машину, AT т.к. REDIRECT действует только в цепочках nat/PREROUTING и AT nat/OUTPUT. Например, к filter/FORWARD это действие уже не применимо. Можно подумать, DNAT в цепочках filter/FORWARD работает... Слово транзитные меня смутило. Чем? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
sergio - debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400: s Всем привет. s В чём разнница между s REDIRECT и DNAT без ip? s Это абсолютно одно и то же? Зачем тогда было делать REDIRECT? s Или есть разница? Разумеется. Если ты DNAT не указываешь адрес, он его не меняет. А REDIRECT - меняет. Кроме того, в мане на DNAT написано, что изменение распространяется на все дальнейшие пакеты данного соединения (включая обратные, чего там не написано), и что на этом прохождение правил прекращается. У REDIRECT ничего такого не написано. Подробнее же я с REDIRECT не работал, и для чего он вообще нужен, не знаю. Возможно, реализация REDIRECT эффективнее, чем DNAT, за счет того, что не надо гонять пакеты дальше в сеть. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Мне еще спать под рутом (С)энта -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
,--[Artem Chuprina, Wed, 16 Jul 2008 20:19:38 +0400] |sergio - debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400: | | s Всем привет. | | s В чём разнница между | s REDIRECT и DNAT без ip? | | s Это абсолютно одно и то же? Зачем тогда было делать REDIRECT? | s Или есть разница? | |Разумеется. Если ты DNAT не указываешь адрес, он его не меняет. А |REDIRECT - меняет. | |Кроме того, в мане на DNAT написано, что изменение распространяется на |все дальнейшие пакеты данного соединения (включая обратные, чего там не |написано), и что на этом прохождение правил прекращается. У REDIRECT |ничего такого не написано. Подробнее же я с REDIRECT не работал, и для |чего он вообще нужен, не знаю. Возможно, реализация REDIRECT |эффективнее, чем DNAT, за счет того, что не надо гонять пакеты дальше в |сеть. | `- из мана и туториала вынес впечатление, что dnat - прокидка соединения куда либо, redirect же - заворачивание соединения на другой порт, но на тот же интерфейс, на который оно приходит. === REDIRECT skipped It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the 127.0.0.1 address). skipped === DNAT skipped It specifies that the destination address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. skipped -- _ *** * icq: 161874711* * jabber: [EMAIL PROTECTED] * * irc.starlink.ru,#Gene, Devil_InSide * *Registered linux user #450844* *** -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Срд, 16/07/2008 в 22:35 +0400, -=Devil_InSide=- пишет: ,--[Artem Chuprina, Wed, 16 Jul 2008 20:19:38 +0400] |sergio - debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400: | | s Всем привет. | | s В чём разнница между | s REDIRECT и DNAT без ip? | | s Это абсолютно одно и то же? Зачем тогда было делать REDIRECT? | s Или есть разница? | |Разумеется. Если ты DNAT не указываешь адрес, он его не меняет. А |REDIRECT - меняет. | |Кроме того, в мане на DNAT написано, что изменение распространяется на |все дальнейшие пакеты данного соединения (включая обратные, чего там не |написано), и что на этом прохождение правил прекращается. У REDIRECT |ничего такого не написано. Подробнее же я с REDIRECT не работал, и для |чего он вообще нужен, не знаю. Возможно, реализация REDIRECT |эффективнее, чем DNAT, за счет того, что не надо гонять пакеты дальше в |сеть. | `- из мана и туториала вынес впечатление, что dnat - прокидка соединения куда либо, redirect же - заворачивание соединения на другой порт, но на тот же интерфейс, на который оно приходит. === REDIRECT skipped It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the 127.0.0.1 address). skipped === DNAT skipped It specifies that the destination address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. skipped REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
В Срд, 16/07/2008 в 22:34 +0300, Покотиленко Костик пишет: В Срд, 16/07/2008 в 22:35 +0400, -=Devil_InSide=- пишет: ,--[Artem Chuprina, Wed, 16 Jul 2008 20:19:38 +0400] |sergio - debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400: | | s Всем привет. | | s В чём разнница между | s REDIRECT и DNAT без ip? | | s Это абсолютно одно и то же? Зачем тогда было делать REDIRECT? | s Или есть разница? | |Разумеется. Если ты DNAT не указываешь адрес, он его не меняет. А |REDIRECT - меняет. | |Кроме того, в мане на DNAT написано, что изменение распространяется на |все дальнейшие пакеты данного соединения (включая обратные, чего там не |написано), и что на этом прохождение правил прекращается. У REDIRECT |ничего такого не написано. Подробнее же я с REDIRECT не работал, и для |чего он вообще нужен, не знаю. Возможно, реализация REDIRECT |эффективнее, чем DNAT, за счет того, что не надо гонять пакеты дальше в |сеть. | `- из мана и туториала вынес впечатление, что dnat - прокидка соединения куда либо, redirect же - заворачивание соединения на другой порт, но на тот же интерфейс, на который оно приходит. === REDIRECT skipped It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the 127.0.0.1 address). skipped === DNAT skipped It specifies that the destination address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. skipped REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Вдогонку, кроме этого факта других различий между REDIRECT и DNAT нет. REDIRECT также срабатывает только для первого пакета (как и любое правило в таблице nat), остальные пакеты туда и обратно обрабатываются автоматически системой conntrack. DNAT - более полная версия REDIRECT. REDIRECT - проще, т.к. не надо явно указывать адрес, и есть возможность контролировать источник - транзит попадает на адрес входящего интерфейса, локальный на lo (для DNAT тут одним правилом не обойдёшься). -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
Покотиленко Костик пишет: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). Но он не все транзитные соединения перенаправляет на локальную машину, т.к. REDIRECT действует только в цепочках nat/PREROUTING и nat/OUTPUT. Например, к filter/FORWARD это действие уже не применимо. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
Alexander Tyurin - Debian-Russian @ Thu, 17 Jul 2008 00:33:33 +0400: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). AT Но он не все транзитные соединения перенаправляет на локальную машину, AT т.к. REDIRECT действует только в цепочках nat/PREROUTING и AT nat/OUTPUT. Например, к filter/FORWARD это действие уже не применимо. Можно подумать, DNAT в цепочках filter/FORWARD работает... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Если ничто уже не помогает, прочтите же, наконец, инструкцию! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables: REDIRECT and DNAT
Artem Chuprina пишет: Alexander Tyurin - Debian-Russian @ Thu, 17 Jul 2008 00:33:33 +0400: REDIRECT перенаправляет локально сделанные и транзитные соединения на локальную машину, поэтому адрес в параметрах отсутствует, он всегда равен адресу входящего интерфейса (127.0.0.1 для локально сделанных). AT Но он не все транзитные соединения перенаправляет на локальную машину, AT т.к. REDIRECT действует только в цепочках nat/PREROUTING и AT nat/OUTPUT. Например, к filter/FORWARD это действие уже не применимо. Можно подумать, DNAT в цепочках filter/FORWARD работает... Слово транзитные меня смутило. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]