Re: Как пробросить порт на серую сетку?
В Срд, 23/11/2005 в 12:44 +0200, Dementiev Vyacheslav O. пишет:
> В Срд, 23/11/2005 в 09:57 +0200, pv пишет:
> > В сообщении от Вторник, 22-Ноя-2005 15:10 Dementiev Vyacheslav O. написал(a):
> > > Как пробросить порт на серую сетку?
> > > Собственно ситуация такова
> > > Есть роутер с маршрутом по умалчанию на gre1 (тунель на спутник).
> > > Есть впн соединение с "земляным" провайдером - пусть будет ppp0 с
> > > адрессом x.y.z.h
> > > При проброске порта (iptables -t nat -A PREROUTING -i ppp0 -p tcp--dport
> > > 123 -j DNAT --to 1.2.3.4) и настройки рп фильтра (ehco
> > > 0/proc/sys/net/ipv4/conf/ppp0/rp_filter) пакеты доходят до хоста
> > > 1.2.3.4. Но проблемма появляется с обратными пакетами. Попадая на роутер
> > > отхоста 1.2.3.4, они заварачиваются в тунель, что портит все картину
> > > ((((
> > > Как это победить красиво я не могу придумать уже в течении 2
> > > дней.Попытка за "снатить" (iptables -t nat -A POSTROUTING -p tcp -d
> > > 1.2.3.4--dport 123 -j SNAT --to x.y.z.h ) в сочетании с настройкой
> > > правил типа"для пакетов на и от х.y.z.h роутить через ppp0" у меня не
> > > получилась(((
> > >
> > > Подкиньте идею
> >
> > Ставим iproute2
> > в файл /etc/iproute2/rt_tables добавляем строку типа
> > 240 my_table
> > Делаем
> > ip route add default via x.y.z.h table my_table
> > Потом
> > ip rule add from 1.2.3.4 table my_table
>
> Этот вариант к сожалению не подходит. Через этот же роутер идут ответы с
> порта 123 хоста 1.2.3.4 и на локальные сетки. Если сделать так - то все
> ответы пойдут via x.y.z.h, что откинет сервис на локальных сетях. Нужно
> зароутить только те ответы, которые были инициированны "днатными"
> пакетами с x.y.z.h
Наконец-то разобралси
У кого подобная проблема - советую поискать в инете статьи на тему
"проброска порта 2 isp"
А решение следущее
iptables -t mangle -A PREROUTING -m conntrack --ctstate DNAT
--ctorigdst
х.y.z.h -j MARK --set-mark 2
ip rule add fwmark 2 lookup таблица
Reply to: