Re: Masquerading - что я делаю не так?
Stanislav Maslovski -> debian-russian@lists.debian.org @ Tue, 27 Jun 2006 21:49:00 +0400:
>> Masquerading нужен что бы обработать изменение ip. При статике этого
>> делать не надо.
>>
>> Iptables Tutorial 1.1.19 (3 mb)
>> http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#MASQUERADETARGET
>> 6.5.6. Действие MASQUERADE
>>
>> Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и
>> SNAT только не имеет ключа --to-source. Причиной тому то, что
>> маскарадинг может работать, например, с dialup подключением или DHCP,
>> т.е. в тех случаях, когда IP адрес присваивается устройству динамически.
>> Если у вас имеется динамическое подключение, то нужно использовать
>> маскарадинг, если же у вас статическое IP подключение, то бесспорно
>> лучшим выходом будет использование действия SNAT.
SM> Я бы к этому добавил, что, по сути, MASQUERADE подменяет исходный IP на IP
SM> того интерфейса, откуда пакет должен покинуть роутер. Последнее определяется
SM> на шаг раньше, на этапе маршрутизации. Например, возможна такая конфигурация
SM> роутера:
SM> eth0 = сеть 10.0.0.0/8 (домонетка)
SM> ppp0 = сеть 192.168.1.0/24 (pptp на 10.x.y.z - выход в инет)
SM> ppp1 = сеть 192.168.255.0/24 (dial-in модем)
SM> (настройку маршрутизации опустим)
SM> Если теперь захотеть, чтобы по dial-in были доступны как домонетка, так и
SM> инет, и, плюс к тому, работал бы NAT на eth0 и ppp0, понадобится MASQUERADE.
SM> Поправьте меня, если я не прав.
Ты не прав. Никто не мешает прописать два правила SNAT, различая их по
выходному интерфейсу.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
женщина, всерьёз алчущая завтрака, способна вполне прилично наточить мясорубку.
(с) Руна
Reply to: