Re: iptables DNAT

To: debian-russian@lists.debian.org
Subject: Re: iptables DNAT
From: Artem Chuprina <ran@ran.pp.ru>
Date: Sat, 01 Jul 2006 09:18:26 +0400
Message-id: <[🔎] 15295517@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <d0d957c90606301510s40183291tc1375f6a283cff3e@mail.gmail.com> (Viktor V. Kudlak's message of "Fri, 30 Jun 2006 22:10:03 +0000")
References: <d0d957c90606300820s4f3225c4v573b1b1ff5f4af8d@mail.gmail.com> <50984880@wizzle.ran.pp.ru> <58186007@wizzle.ran.pp.ru> <d0d957c90606301058r5c0097b0q2a2e6ee0f23368cf@mail.gmail.com> <92107273@wizzle.ran.pp.ru> <d0d957c90606301510s40183291tc1375f6a283cff3e@mail.gmail.com>

Viktor V Kudlak -> debian-russian@lists.debian.org  @ Fri, 30 Jun 2006 22:10:03 +0000:

 >>  >>  VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
 >>  >>  VVK>> --to-destination 10.32.13.1
 >>  >>  VVK>> iptables -t nat -A PREROUTING -j DNAT -p udp -d 80.93.50.70
 >>  >>  VVK>> --to-destination 10.32.13.1
 >>  >>  VVK>> iptables -A FORWARD -i eth0 -d 10.32.13.1 -j ACCEPT
 >>  >>
 >>  >>  VVK>> но, из тестов видно, что если и пробрасывается айпишка, то из вне до
 >>  >>  VVK>> машины не достучаться :-(
 >>  >>
 >>  >>  AC> Что форвардинг разрешен, видно.  А включен?
 >>  >>
 >>  >> И да, видно, что он разрешен в одну сторону...
 >>  >>
 >>
 >>  VVK> так а что делать то?! как в другую сторону разрешить?
 >>  VVK> каких правил не хватает?
 >>
 >> Вероятнее всего -
 >>
 >> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

 VVK> не прошло, по прежнему не проходят пакету ((

 VVK> srv05:/home/mega# iptables-save
 VVK> # Generated by iptables-save v1.3.3 on Sat Jul  1 02:09:42 2006
 VVK> *nat
 VVK> :PREROUTING ACCEPT [1949751:140271634]
 VVK> :POSTROUTING ACCEPT [1207000:89031901]
 VVK> :OUTPUT ACCEPT [1202939:88778322]
 VVK> -A PREROUTING -d 80.93.50.70 -p tcp -j DNAT --to-destination 10.32.13.1
 VVK> -A PREROUTING -d 80.93.50.70 -p udp -j DNAT --to-destination 10.32.13.1
 VVK> COMMIT
 VVK> # Completed on Sat Jul  1 02:09:42 2006
 VVK> # Generated by iptables-save v1.3.3 on Sat Jul  1 02:09:42 2006
 VVK> *filter
 VVK> :INPUT ACCEPT [65812288:10819971428]
 VVK> :FORWARD ACCEPT [8918:1207937]
 VVK> :OUTPUT ACCEPT [83236192:90660546465]
 VVK> -A FORWARD -d 80.93.50.70 -i eth0 -j ACCEPT
 VVK> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 VVK> COMMIT
 VVK> # Completed on Sat Jul  1 02:09:42 2006

Тут вообще ACCEPT по умолчанию...  Прочитал все письма еще раз.  Не
нахожу проблемы.  Может, невнимательно смотрю.  tcpdump в руки (на
роутере, на оба интерфейса) и смотреть.  Добавить правило -A FORWARD -j
LOG и посмотреть, что кажут в логе...

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Если ты не боишься синего экрана, то почему боишься черного?
	(c) Д.Белявский

Reply to:

Follow-Ups:
- Re: iptables DNAT
  - From: Alexander Gerasiov <gq@cs.msu.su>

Next by Date: шейпер
Next by thread: Re: iptables DNAT
Index(es):
- Date
- Thread