Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: непонятки с iptables (SNAT vs MASQUERADE)  (Прочитано 5838 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tattoon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
непонятки с iptables (SNAT vs MASQUERADE)
« : 24 Июня 2010, 18:24:51 »
Доброго времени суток,
такая неразбериха... ? не могу понять
SQUID + IPTABLES
Заворачиваем весь 80 порт на порт сквида
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination SQUIDIP:3128
Остальное NAT'им
Вот тут и начинается самое интересное
если делаю так (шлюз статичен)
iptables -t nat -A POSTROUTING -j MASQUERADE то всё окей
а если так
iptables -t nat -A POSTROUTING -j SNAT --to-source GATEWAYIP
то не работает, хотя по документации должно работать не могу понять в чём дело
net.ipv4.ip_forward = 1 это есть
Может у кого какие мысли есть? Помогите не понятно .... :idiot2:
« Последнее редактирование: 25 Июня 2010, 13:28:11 от tattoon »

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: непонятки с iptables (SNAT vs MASQUERADE)
« Ответ #1 : 24 Июня 2010, 18:32:06 »
Так эта интерфейс WAN надо указывать, например -o eth1, причем и в первом и во втором варианте
« Последнее редактирование: 24 Июня 2010, 18:33:45 от Mam(O)n »

Оффлайн tattoon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: непонятки с iptables (SNAT vs MASQUERADE)
« Ответ #2 : 25 Июня 2010, 08:10:44 »
У меня два интерфейса eth0 смотрит в локалку и eth1 смотрит в инет на статичный шлюз
Например eth0 192.168.1.33
eth1 10.1.12.5 в инет на шлюз провайдера 10.1.12.1
делаю так iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE - работает
делаю так iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.1.12.1 - не работает
 :'(

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: непонятки с iptables (SNAT vs MASQUERADE)
« Ответ #3 : 25 Июня 2010, 09:52:23 »
sysctl net.ipv4.ip_forward=1
не net.ipv4.ip_forwarding = 1
юзай sysctl -a для просмотра текущих параметров, к примеру
sysctl -a | grep forward

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: непонятки с iptables (SNAT vs MASQUERADE)
« Ответ #4 : 25 Июня 2010, 11:38:17 »
eth1 10.1.12.5 в инет на шлюз провайдера 10.1.12.1
делаю так iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.1.12.1 - не работает
Так не шлюз провайдера а айпи твоего WAN интерфейса твоего шлюза надо прописывать! --to-source 10.1.12.5

Оффлайн tattoon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: непонятки с iptables (SNAT vs MASQUERADE)
« Ответ #5 : 25 Июня 2010, 13:27:38 »
sysctl net.ipv4.ip_forward=1
не net.ipv4.ip_forwarding = 1
юзай sysctl -a для просмотра текущих параметров, к примеру
sysctl -a | grep forward
Так  и есть просто опечатался когда писал... щас исправлю :)
To Mam(O)n Понял попробую.. отпишусь...

Оффлайн tattoon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: непонятки с iptables (SNAT vs MASQUERADE)
« Ответ #6 : 28 Июня 2010, 14:21:20 »
eth1 10.1.12.5 в инет на шлюз провайдера 10.1.12.1
делаю так iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.1.12.1 - не работает
Так не шлюз провайдера а айпи твоего WAN интерфейса твоего шлюза надо прописывать! --to-source 10.1.12.5
Спасибо, сделал вроде получилось...
Я вначале тоже делал SNAT --to-source WANIP
Но видать правило для DROP было сильнее и срабатывала раньше...

 

Страница сгенерирована за 0.03 секунд. Запросов: 23.