переадресация внутри сервера iptables

[W03L]

привет.
ребята, подскажите, как сделать используя iptables переадресацию внутри сервера.
есть Ubuntu сервер. одна сетевуха 192.168.50.0 смотрит в локалку, другая 192.168.1.0 смотрит на роутер.
мне надо из локалки 192.168.50.0 получить доступ к административным фишкам роутера на 192.168.1.1
я так полагаю, что надо использовать SNAT, только не могу прикинуть как именно.
плз, хелп.

[Mam(O)n]

iptables -t nat -A POSTROUTING -o eth_какой_смотрит_на_роутер -j MASQUERADE

Остальное зависит от текущих настроек.

[W03L]

iptables -t nat -A POSTROUTING -o eth_какой_смотрит_на_роутер -j MASQUERADE

Остальное зависит от текущих настроек.

мне надо только конкретные адреса:
для 192.168.50.50 при обращении в 192.168.1.2 чтобы переадресовывал на 192.168.1.1
сейчас при открытии 192.168.1.2 открывается страница апачи.

[Mam(O)n]

А нахрена 192.168.1.2? Почему не сразу на 192.168.1.1? А для остальных в FORWARD прикорй: iptables -A FORWARD ! -s 192.168.50.50 -d 192.168.1.1 -j DROP

[W03L]

сенкс, работает, но мне кажется лишние правила только нагружают сервер.
ща поломаю голову как сделать в одну строчку используя -s 192.168.50.50 -d 192.168.1.1

[AnrDaemon]

Покажи
sudo iptables-save

[W03L]

Покажи
sudo iptables-save

:PREROUTING ACCEPT [11836416:7416462187]
:INPUT ACCEPT [869337:229328296]
:FORWARD ACCEPT [10966655:7187112541]
:OUTPUT ACCEPT [1030264:876145652]
:POSTROUTING ACCEPT [11997662:8063390513]
COMMIT
# Completed on Fri Mar 19 18:34:00 2010
# Generated by iptables-save v1.4.4 on Fri Mar 19 18:34:00 2010
*nat
:PREROUTING ACCEPT [115049:11058009]
:POSTROUTING ACCEPT [153247:13133324]
:OUTPUT ACCEPT [95376:8754140]
-A PREROUTING -p tcp -m tcp --dport 6900 -j DNAT --to-destination 192.168.50.2:6900
-A PREROUTING -p tcp -m tcp --dport 5834 -j DNAT --to-destination 192.168.50.2:5834
-A PREROUTING -p udp -m udp --dport 48594 -j DNAT --to-destination 192.168.50.2:48594
-A PREROUTING -p tcp -m tcp --dport 5835 -j DNAT --to-destination 192.168.100.2:5835
-A PREROUTING -p udp -m udp --dport 48595 -j DNAT --to-destination 192.168.100.2:48595

-A POSTROUTING -s 192.168.50.2/32 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.100.2/32 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.2/32 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 127.0.0.1/32 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 19 18:34:00 2010
# Generated by iptables-save v1.4.4 on Fri Mar 19 18:34:00 2010
*filter
:INPUT ACCEPT [445201:197236774]
:FORWARD ACCEPT [29:1543]
:OUTPUT ACCEPT [181:19859]
-A INPUT -i ppp0 -p tcp -m tcp --dport 4662 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6901 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6900 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 6900 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 5834 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 5834 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p udp -j ACCEPT
-A INPUT -i eth1 -p udp -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-prefix "INPUT reject ppp0" --log-level 7 --log-tcp-options
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-prefix "INPUT reject eth1" --log-level 7 --log-tcp-options
-A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable

-A FORWARD -o ppp0 -p tcp -m tcp --dport 6900 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m tcp --dport 6900 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m tcp --dport 5834 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m tcp --dport 5834 -j ACCEPT
-A FORWARD -s 192.168.50.0/24 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.50.0/24 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.50.0/24 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.50.0/24 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -i eth2 -j ACCEPT
-A FORWARD -d 192.168.100.0/24 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.100.0/24 -o eth2 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -j LOG --log-prefix "FORWARD drop ppp0" --log-level 7 --log-tcp-options
-A FORWARD -o eth1 -p tcp -j LOG --log-prefix "FORWARD drop eth1" --log-level 7 --log-tcp-options
-A FORWARD -o ppp0 -p tcp -j DROP
-A FORWARD -o eth1 -p tcp -j DROP
-A FORWARD -o eth0 -p tcp -j DROP
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Fri Mar 19 18:34:00 2010

[AnrDaemon]

-A POSTROUTING -s 127.0.0.1/32 -o ppp0 -j MASQUERADE
Лишнее.

Все правила в INPUT бессмысленны кроме 4 последних.

-A OUTPUT -j ACCEPT
Бессмысленно.

[W03L]

-A POSTROUTING -s 127.0.0.1/32 -o ppp0 -j MASQUERADE
Лишнее.

без этой строчки на самом сервере инета нету после обновления до ubuntu 9.10 Carmic  

а к примеру без -A INPUT -i ppp0 -p tcp -m tcp --dport 4662 -j ACCEPT
не работает eMule клиент на сервере

[AnrDaemon]

Быть такого не может. Даже если может - потрудись хотябы -m state --state NEW добавить.

[W03L]

Быть такого не может. Даже если может - потрудись хотябы -m state --state NEW добавить.

а зачем мне инициализация соединения из вне по просьбе аутхостера
клиентская прога всё сама делает и получается, что она просто "отвечает" на пакеты.

[AnrDaemon]

Чё?

[Mam(O)n]

Не, в INPUT там всё рабочее, т.к. в конце reject'ятся пакеты не прошедшие проверку... А вот про маскардинг 127.0.0.1/32 - действительно либо бред, либо интерфейсы с маршрутами неправильно настроены.