----- Original Message ----- From: "Olvin" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]>; "ALT Linux sysadmin discuss" <[email protected]> Sent: Saturday, December 23, 2006 9:32 PM Subject: Re: [Sysadmins] DNAT???
> Michael Shigorin пишет: > >>>Если машина - шлюз, то ничего такого не надоразве что > >>>запретить форвард всего кроме -p tcp --dport 80 -d > >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то > >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK. > >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни > >>в другой сети. надо из одной сети (192.168.1.0./24) выкинуть > >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть > >>192.168.0.0./24 > > Вообще для работы DNAT нужен симметричный SNAT -- часом не > > упустили? Бывало ещё забавно, когда понимание маршрутов у > > машинов из таких подсетей отличалось, в смысле ответ шёл > > мимо NAT. > > NAT действует только при разрешённом forward, исключение - redirect, но > это на другой порт той машины, что шлюзом служит. > > Вам нужно некое приложение, которое бы слушало на 80-м порту и само > делало запросы на 80-й порт, но на другую машину. Причём запросы один к > одному, эдакий user-space forward (не redirect). Если бы обращения шли > только по имени машины, а не по IP-адресу, то такое можно было бы > реализовать хитрой настройкой DNS-сервера bind (hint: views) и > прокси-сервера squid. А если это не только 80 порт, вообще любой порт одной машины пробросить на другую машину. > > _______________________________________________ > Sysadmins mailing list > [email protected] > https://lists.altlinux.org/mailman/listinfo/sysadmins > _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
