Re: DNAT для сервера во внутренней сети
28 Март 2003 03:47, Andrei Sosnin написал:
> Здравствуйте!
>
> Требуется сделать доступным извне сервер (Shoutcast) во внутренней
> сети. Порты - 6666 и 6667. Пробовал такую конфигурацию iptables (IP
> изменены):
>
> # Это обеспечивает "маскарадинг"
> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to $EXTIP
>
> # Это должно обеспечивать прозрачный доступ, но не обеспечивает...
> $IPTABLES -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 6666 \
> -j DNAT --to-destination 192.168.15.2
> $IPTABLES -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 6667 \
> -j DNAT --to-destination 192.168.15.2
>
а как в цепочке FORWARD ?
надо еще в ней прописать что то вроде
iptables -A FORWARD -p tcp -m tcp -d 192.168.15.2 --dport 6666:6667 -j ACCEPT
разрешаем трафику всетаки доходить до 192.168.x.x
iptables -A FORWARD -p tcp -m tcp -s 192.168.15.2 -i $INT_IP --sport
6666:6667 -j ACCEPT
и выходить с него
по моему как то так
> Но она почему-то не работает... Похожее у меня для Gnutella настроено,
> и она говорит, что-де "я за файрволлом" (порт официальный GNutella -
> 6436)... Так что же неправильно?
>
> Логи оставляют вот это:
>
> Mar 27 23:36:03 alpha kernel: IN=eth1 OUT=eth1 SRC=192.168.15.2
> DST=192.168.15.2 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=7028 DF PROTO=TCP
> SPT=41469 DPT=80 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0
>
> Должен ли я еще что-либо добавлять/изменять?
--
Юркин Евгений
Reply to: