Re: Masquerading - что я делаю не так?
On Tue, Jun 27, 2006 at 03:55:46PM -0500, Nicholas wrote:
> Masquerading нужен что бы обработать изменение ip. При статике этого
> делать не надо.
>
> Iptables Tutorial 1.1.19 (3 mb)
> http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#MASQUERADETARGET
> 6.5.6. Действие MASQUERADE
>
> Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и
> SNAT только не имеет ключа --to-source. Причиной тому то, что
> маскарадинг может работать, например, с dialup подключением или DHCP,
> т.е. в тех случаях, когда IP адрес присваивается устройству динамически.
> Если у вас имеется динамическое подключение, то нужно использовать
> маскарадинг, если же у вас статическое IP подключение, то бесспорно
> лучшим выходом будет использование действия SNAT.
Я бы к этому добавил, что, по сути, MASQUERADE подменяет исходный IP на IP
того интерфейса, откуда пакет должен покинуть роутер. Последнее определяется
на шаг раньше, на этапе маршрутизации. Например, возможна такая конфигурация
роутера:
eth0 = сеть 10.0.0.0/8 (домонетка)
ppp0 = сеть 192.168.1.0/24 (pptp на 10.x.y.z - выход в инет)
ppp1 = сеть 192.168.255.0/24 (dial-in модем)
(настройку маршрутизации опустим)
Если теперь захотеть, чтобы по dial-in были доступны как домонетка, так и
инет, и, плюс к тому, работал бы NAT на eth0 и ppp0, понадобится MASQUERADE.
Поправьте меня, если я не прав.
--
Станислав
Reply to: