| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
 Добавлено: Ср Сен 06 2006 14:50 Заголовок сообщения: Прошу помощи с iptables |
 |
|
У меня на шлюзе есть вот такое правило
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.80.15 -j SNAT --to-source 192.168.7.30
192.168.80.15 - это моя рабочая станция. Если я с этой рабочей станции делаю telnet 192.168.7.30 1800? то всё работает, Но мне надо чтобы работало telnet 192.168.80.31 1800
192.168.80.31 - это шлюз.
Т.е. мне надо чтобы всё что идёт на порт 1800 на адрес 192.168.80.31 шло на порт 1800 адреса 192.168.7.30... |
|
| Вернуться к началу |
|
 |
Sol
Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск
|
| Добавлено: Ср Сен 06 2006 15:42 Заголовок сообщения: |
|
|
| Цитата: | | Т.е. мне надо чтобы всё что идёт на порт 1800 на адрес 192.168.80.31 шло на порт 1800 адреса 192.168.7.30... |
А оно скорее всего туда и идёт!
Не веришь? Посмотри tcpdump-ом ...
Но не факт, что ответ возвращается.. А если и возвращается, то не факт, что ты разрешаешь этот ответ принимать..
Какие правила Iptables у тебя есть для того что бы принимать ответ?
_________________
In My Humble Opinion |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Ср Сен 06 2006 15:49 Заголовок сообщения: Прошу помощи с iptables |
|
|
| Sol писал(а): | | Цитата: | | Т.е. мне надо чтобы всё что идёт на порт 1800 на адрес 192.168.80.31 шло на порт 1800 адреса 192.168.7.30... |
А оно скорее всего туда и идёт!
Не веришь? Посмотри tcpdump-ом ...
Но не факт, что ответ возвращается.. А если и возвращается, то не факт, что ты разрешаешь этот ответ принимать..
Какие правила Iptables у тебя есть для того что бы принимать ответ? |
А нет никаких правил для приёма... Их и прошу помочь написать... |
|
| Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск
|
| Добавлено: Ср Сен 06 2006 16:12 Заголовок сообщения: |
|
|
| Цитата: | | 192.168.80.31 - это шлюз |
Если это шлюз, то какие то правила приёма там всё равно должны быть..
:-)
Во первых: надо открыть на интерфейсе соответсвующем подсети 192.168.80 - 1800 порт..
Во вторых: на интерфейсе соответствущем подсети 192.168.7 нужно разрешить приём пакетов из всей этой подсети.. или от конкретного хоста..
_________________
In My Humble Opinion |
|
| Вернуться к началу |
|
|
vvt
Зарегистрирован: 20.05.2004
Сообщения: 686
|
| Добавлено: Чт Сен 07 2006 01:01 Заголовок сообщения: |
|
|
А вы бы описали сеть по подробнее, а то не понятно, что, откуда и куда должно ходить.
Как минимум, действие DNAT вам понадобится. |
|
| Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005
Сообщения: 171
|
| Добавлено: Чт Сен 07 2006 08:29 Заголовок сообщения: |
|
|
Действительно, конфигурация сети неясна.
Однако, правило
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.80.15 -j SNAT --to-source 192.168.7.30
в любом случае никак не вяжется с требованием | Цитата: | | Т.е. мне надо чтобы всё что идёт на порт 1800 на адрес 192.168.80.31 шло на порт 1800 адреса 192.168.7.30 |
Не говоря уже о том, что правило это вообще бредовое
Расшифровываем: В пакетах, предназначенных для интерфейса eth1 и приходящих с адреса 192.168.80.15, заменять исходный адрес на 192.168.7.30 (машине, на которой работает iptables, вовсе даже не принадлежащий, как я понял!)
Если 172.16.7.30 'nj адрес узла в сети на внешнем интерфейсе, то правила бы выглядели так примерно
iptables -t nat -A PREROUTING -p tcp -s 192.168.80.15 --dport 1800 -j DNAT --to-destination 192.168.7.30
iptables -t nat -A POSTROUTING -p tcp -d 192.168.7.30 --dport 1800 -j SNAT --to-source (какой.внешний.ip.адрес)
Типичный случай...
_________________
Съешь еще мягких французских булок,да выпей чаю! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
