перенаправление http запросов

[конь]

есть прокси на squid который раздает интернет офису eth0 - 192.168.0.30 и локалка eth1 - 192.168.1.1
на нем установлен apache и php для sarg and sqstat . на него из интернета захожу без проблем .
теперь есть дополнительный файл сервер для нужд офиса с одной сетевой 192.168.1.30
на котором установлена samba , apache и php5 .
Вопрос - как перенаправить запрос по 80 порту с 192.168.0.30 на 192.168.1.30 ?
пробовал
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.30 --dport 8080 -j DNAT --to-destination 192.168.1.30:80

iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.30 --dport 80 -j SNAT --to-source 192.168.1.1
после этого выдавал ошибку
iptables invalid argument. run dmesg' for more information
сделал вот так
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 192.168.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.30:80
и все равно нет

[fisher74]

А Вы не думали сделать сквозную маршрутизацию сетей внутри офиса?

Попробуйте такое правило

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 192.168.1.1
или проверяйте каждый символ, потому как правило-то построутинга у Вас рабочее.

[ArcFi]

А Вы не думали сделать сквозную маршрутизацию сетей внутри офиса?

+1, реализовать нормальную маршрутизацию и не заниматься извращениями.

[конь]

ошибка пропала после перезапуска системы .
Но ничего не происходит . при обращении к внешнему ip подключение идет к серверу ,где стоит squid и две сетевые

[fisher74]

ничего не происходит при абсолютном нуле.
Вы форвардинг включили?
sysctl net.ipv4.ip_forward что кажет?
А какие ещё правила в netfilter загружены?
что кажет sudo iptables-save?

[конь]

sysctl net.ipv4.ip_forward что кажет?

net.ipv4.ip_forward = 1

что кажет sudo iptables-save?

# Generated by iptables-save v1.4.12 on Thu Sep 26 14:12:43 2013
*nat
:PREROUTING ACCEPT [401:37242]
:INPUT ACCEPT [393:23825]
:OUTPUT ACCEPT [393:24478]
:POSTROUTING ACCEPT [393:24478]
-A PREROUTING -d 192.168.0.30/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.30:80
-A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -d 192.168.1.30/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 14:12:43 2013
# Generated by iptables-save v1.4.12 on Thu Sep 26 14:12:43 2013
*filter
:INPUT ACCEPT [4157:1519484]
:FORWARD DROP [102:4608]
:OUTPUT ACCEPT [4579:2899751]
-A INPUT -s 62.212.74.161/32 -j DROP
-A INPUT -s 87.250.250.121/32 -j DROP
-A INPUT -s 173.224.209.248/32 -j DROP
-A INPUT -s 50.59.209.20/32 -j DROP
-A INPUT -s 122.155.13.144/32 -j DROP
-A INPUT -s 37.49.226.249/32 -j DROP
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.2/32 -m mac --mac-source 00:1A:4D:F4:06:40 -j ACCEPT
-A FORWARD -s 192.168.1.3/32 -m mac --mac-source 00:16:CF:60:60:DC -j ACCEPT
-A FORWARD -s 192.168.1.4/32 -m mac --mac-source F4:6D:04:DA:24:C1 -j ACCEPT

-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT

[fisher74]

разрешите в цепочке FORWARD таблицы filter новоиспечённый траффик.

[конь]

*nat
:PREROUTING ACCEPT [459:50584]
:INPUT ACCEPT [347:21368]
:OUTPUT ACCEPT [288:18130]
:POSTROUTING ACCEPT [288:18130]
-A PREROUTING -d 192.168.0.30/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destina                                                                             tion 192.168.1.30:80
-A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --t                                                                             o-ports 3128
-A POSTROUTING -d 192.168.1.30/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 1                                                                             92.168.1.1
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 14:48:13 2013
# Generated by iptables-save v1.4.12 on Thu Sep 26 14:48:13 2013
*filter
:INPUT ACCEPT [2984:1079870]
:FORWARD DROP [232:11592]
:OUTPUT ACCEPT [3344:2063969]
-A INPUT -s 62.212.74.161/32 -j DROP
-A INPUT -s 87.250.250.121/32 -j DROP
-A INPUT -s 173.224.209.248/32 -j DROP
-A INPUT -s 50.59.209.20/32 -j DROP
-A INPUT -s 122.155.13.144/32 -j DROP
-A INPUT -s 37.49.226.249/32 -j DROP
-A INPUT -i lo -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.2/32 -m mac --mac-source 00:1A:4D:F4:06:40 -j ACCEPT
-A FORWARD -s 192.168.1.3/32 -m mac --mac-source 00:16:CF:60:60:DC -j ACCEPT
-A FORWARD -s 192.168.1.4/32 -m mac --mac-source F4:6D:04:DA:24:C1 -j ACCEPT
-A FORWARD -s 192.168.1.5/32 -m mac --mac-source 08:60:6E:DA:39:01 -j ACCEPT
-A FORWARD -s 192.168.1.6/32 -m mac --mac-source 00:1F:C6:B3:39:C0 -j ACCEPT
-A FORWARD -s 192.168.1.7/32 -m mac --mac-source 74:2F:68:8A:EE:C0 -j ACCEPT
-A FORWARD -s 192.168.1.8/32 -m mac --mac-source 00:1F:C6:BC:03:63 -j ACCEPT


-A FORWARD -s 192.168.1.66/32 -m mac --mac-source 00:21:85:63:CD:E3 -j ACCEPT
-A FORWARD -s 192.168.1.67/32 -m mac --mac-source 00:17:31:4F:6A:71 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT

Пользователь решил продолжить мысль 26 Сентября 2013, 16:15:33:лан пойду другим путем , а то и так много времени потратил .
примонтирую удаленный hdd к первому серверу и будит всем счатьет 

[fisher74]

-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
был верный путь, только вот обратный трафик не пропустили...
хотя бы так
-A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT

Но было бы более правильней

Код: [Выделить]

sudo iptables -A FORWARD -d 192.168.1.30 -p tcp --dport 80 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.1.30 -p tcp --sport 80 -j ACCEPT

[AnrDaemon]

Кто-то модуль conntrack отменил?

[ArcFi]

А кто-нибудь может объяснить, зачем вообще эти костыли с огораживанием NAT'ами на ровном месте?

[AnrDaemon]

ArcFi, да, тоже хороший вопрос.

[fisher74]

это было первое предложение, но человеку стало удобнее примонтировать ресурс на шлюз