Timur Batyrshin пишет:
On Tue, 06 May 2008 11:43:03 +0300
Денис Ягофаров wrote:
Я себе для такого соорудил инит-скрипт. Прилагаю для
рассмотрения. ... iptables -t nat -A POSTROUTING -s 192.168.2.0/24
-o eth0 -j MASQUERADE ...
# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j
MASQUERADE iptables: No chain/target/match by that name
хм... ему для OVZ дополнительные модули нужны? Всё, что есть на HN:
Не могу ничего сказать насчет модулей, но если на хосте адрес
статический, то судя по тому же iptables tutorial лучше использовать
вместо маскарада SNAT.
Ну и если кроме 80 и 21 порта ничего не должно проходить, то это правило
не нужно, зато нужен запрет на прохождение пакетов, т.к. иначе во
внешнюю сеть будут валиться пакеты с внутренними адресами.
Как всё выглядит сейчас:
Клиент (у него указан шлюз) -- (eth0 проброшеный в контейнер) роутер
(маршрутизация в Сеть)
Как я хочу:
Клиент (у него указан шлюз) -- (eth0 проброшеный в контейнер) роутер
(переброс 80 и 21 портов) -- прокси -- роутер (маршрутизация в Сеть)
... при этом ssh/pop3/smtp и т.п. спокойно проходят в Сеть ...
Как я представляю это "на пальцах":
NetFilter определяет, что соединение организовывается во внешнюю сеть на
80-й порт, он перенаправляет всё на прокси, и получая ответы от прокси
отсылает их коиенту. При этом, как я понимаю, клиент считает, что ему
отвечает запрашиваемый ресурс...
begin:vcard
fn:Denis Timurovich Yagofarov
n:Yagofarov;Denis Timurovich
org:ITGIS NASU
adr:room 615;;Chokolovski sqr., 13;Kiev;;03151;Ukraine
email;internet:[EMAIL PROTECTED]
title:system administrator
tel;work:80442480755
x-mozilla-html:FALSE
version:2.1
end:vcard
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
