| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
ipfw
Зарегистрирован: 26.04.2006
Сообщения: 1
|
 Добавлено: Чт Май 11 2006 08:30 Заголовок сообщения: IPTABLES |
 |
|
Как открыть в Iptables
один локальный ip адрес в интернет через NAT без прокси |
|
| Вернуться к началу |
|
 |
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Чт Май 11 2006 15:33 Заголовок сообщения: |
|
|
Нужно, чтобы с этого адреса можно было ходить наружу?
| Код: | | iptables -t nat -A FORWARD -s <нужный адрес> -p tcp -j SNAT --to-source <наружний IP> |
|
|
| Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск
|
| Добавлено: Пт Май 12 2006 06:36 Заголовок сообщения: |
|
|
| Цитата: | Нужно, чтобы с этого адреса можно было ходить наружу?
Код:
iptables -t nat -A FORWARD -s <нужный адрес> -p tcp -j SNAT --to-source <наружний IP> |
Что то C37 по моему напутал с Snat ..
SNat допускается выполнять только в таблице nat в цепочке Postrouting..
Т.е. никакого -A Forward стоять не может..
если nat уже включен, то доступ к внешке с внутреннего Ip осуществляется правилом
iptables -A FORWARD -s <локалный IP> -p tcp -j ACCEPT
_________________
In My Humble Opinion |
|
| Вернуться к началу |
|
|
DmitriyS
Зарегистрирован: 19.06.2002
Сообщения: 381
Откуда: Е-бург
|
| Добавлено: Пт Май 12 2006 07:57 Заголовок сообщения: |
|
|
| iptables -A POSTROUTING -t nat ... |
|
| Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Пт Май 12 2006 15:55 Заголовок сообщения: |
|
|
| Sol писал(а): | | Что то C37 помоему напутал с Snat .. |
Ну, напутал, пардону просим  Правда напутал не со SNAT, а с цепочкой: там, естественно, дожна быть указана POSTROUTING.
Абстрактно NAT, как мне помнится, не включается. То есть он бывает конкретный SNAT, DNAT, MASQUERADE, NETMAP... Поэтому строка
| Код: | | iptables -A FORWARD -s <локальный IP> -p tcp -j ACCEPT |
никакого отношения к NAT не имеет, мало того, в документации сказано, что, если правила задаются без указания таблицы (ключ -t), то они относятся к таблице filter. Сделовательно, вышеуказанный ACCEPT просто пропустит пакет изнутри наружу без какой бы то ни было трансляции адресов. |
|
| Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула
|
| Добавлено: Ср Май 17 2006 06:10 Заголовок сообщения: |
|
|
| Советую использовать MASQUERADE. Будет работать как nat при любой переконфигурации сети. SNAT же менять придётся правило. Провайдер сменит адрес или вы пустите шлюз через другой гейт и т.п. |
|
| Вернуться к началу |
|
|
oleg_poruchikov
Зарегистрирован: 09.09.2004
Сообщения: 567
Откуда: http://tor.clan.su
|
| Добавлено: Вт Май 30 2006 14:45 Заголовок сообщения: |
|
|
| fLamer писал(а): | | Советую использовать MASQUERADE. Будет работать как nat при любой переконфигурации сети. SNAT же менять придётся правило. Провайдер сменит адрес или вы пустите шлюз через другой гейт и т.п. |
MASQUERADE сильно грузит системные ресурсы. ИМХО нужно хорошенько подумать прежде чем использовать маскрадинг, его лучше исползовать при динамическом АйПи-адресе. Хотя на любителя 
_________________
Вот такая картина маслом! (c) |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
