[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: DNAT, SNAT и реальный ip

Tue, 12 Feb 2008 16:08:18 +0600
"Sergey Kharlamov" <mentax@gmail.com> wrote:

> Добрый день, ALL! На роутере имеем правило для выброса в инет сервера
> www:
> 
> iptables -t nat -I POSTROUTING -s 172.16.0.2  -j SNAT --to-source
> 82.211.x.x iptables -I FORWARD -s 172.16.0.2  -j ACCEPT
> iptables -I FORWARD -d 172.16.0.2 -j ACCEPT
> iptables -t nat -A PREROUTING --dst 82.211.x.x -p tcp -m multiport
> --dport 80,25,53,143,110 -j DNAT --to-destination 172.16.0.2
> iptables -t nat -A POSTROUTING -p tcp --dst 172.16.0.2  -m multiport
> --dport 80,25,53,143,110 -j SNAT --to-source 172.16.0.1
> iptables -t nat -A OUTPUT --dst 82.211.x.x -p tcp -m multiport --dport
> 80,25,53,143,110 -j DNAT --to-destination 172.16.0.2
> 
> 172.16.0.2 - сервак www
> 172.16.0.1 - внутренний адрес роутера
> 82.211.x.x - внешняя сеть
> 
> При входе пользователей на сервер www в логах сервера www пишется
> только внутренний ip роутера т.е. 172.16.0.1. Возможно ли зделать так
> чтобы в логи заносился реальный ip с которого зашел пользователь?
Не делать SNAT. Естественно при этом роутер должен быть шлюзом для
внешних адресов (то есть скорее всего как default gateway)

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
 Homepage:  http://gq.net.ru         ICQ:     7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D
Reply to: