[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: DNAT, SNAT и реальный ip



Без SNAT сетка не видится с внутренней сети. 

12.02.08, Alexander GQ Gerasiov <gq@cs.msu.su> написал(а):
Tue, 12 Feb 2008 16:08:18 +0600
"Sergey Kharlamov" <mentax@gmail.com> wrote:

> Добрый день, ALL! На роутере имеем правило для выброса в инет сервера
> www:
>
> iptables -t nat -I POSTROUTING -s 172.16.0.2  -j SNAT --to-source
> 82.211.x.x iptables -I FORWARD -s 172.16.0.2  -j ACCEPT
> iptables -I FORWARD -d 172.16.0.2 -j ACCEPT
> iptables -t nat -A PREROUTING --dst 82.211.x.x -p tcp -m multiport
> --dport 80,25,53,143,110 -j DNAT --to-destination 172.16.0.2
> iptables -t nat -A POSTROUTING -p tcp --dst 172.16.0.2  -m multiport
> --dport 80,25,53,143,110 -j SNAT --to-source 172.16.0.1
> iptables -t nat -A OUTPUT --dst 82.211.x.x -p tcp -m multiport --dport
> 80,25,53,143,110 -j DNAT --to-destination 172.16.0.2
>
> 172.16.0.2 - сервак www
> 172.16.0.1 - внутренний адрес роутера
> 82.211.x.x - внешняя сеть
>
> При входе пользователей на сервер www в логах сервера www пишется
> только внутренний ip роутера т.е. 172.16.0.1. Возможно ли зделать так
> чтобы в логи заносился реальный ip с которого зашел пользователь?
Не делать SNAT. Естественно при этом роутер должен быть шлюзом для
внешних адресов (то есть скорее всего как default gateway)

--
Best regards,
Alexander GQ Gerasiov

Contacts:
e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
Homepage:  http://gq.net.ru         ICQ:     7272757
PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org




--
---------------------------
Best Regards
Kharlamov Sergey
Reply to: