Re: nat y forward
On Fri, 23 Feb 2001 01:51:39 +0000 (GMT)
Carles Pina i Estany <is08139@salleURL.edu> wrote:
>
> Hola
>
> Pues que mirando los howto's de NAT y IPTABLES, me estoy liando un poco...
> porqué ahora el Masquerade no se hace dentro de FORWARD sinó con la tabla
> NAT.
>
> Es decir, si una regla la tengo en FORWARD y en la tabla de NAT, cual
> hará? hará un simple FORWARD? o me hará el NAT completo?
>
> Esta es la raíz del problema que tengo que comenté en otro mail, y donde
> me pierdo... al controlar este tema.
Intui que este sería tu problema. Si prestas atención en los Howto's,
notarás que masquerading está siendo hecho en el último momento de
salir de la tarjeta (postrouting) y en el primer momento después de
entar por la tarjeta (prerouting). La consequencia es que todas las
otras tablas, incluindo aquellas para las rutas, sólo ven las
direcciones locales. Mírate bien el ascii art que el autor pone: las
tables INPUT y OUTPUT sólo son para el tráfico con el firewall mismo;
lo que pasa por la tabla FORWARD no va a pasar por INPUT o OUTPUT. Y
además, entre FORWARD y las tablas de la NAT está el ruteamento. Lo
que es acceptado por la tablea FORWARD es tráfico que viene de otra
máquina local y va en dirección a la Internet, o al revés, que viene
de la Internet pero debe ir a otra máquina interna. Así que la tabla
FORWARD dice quien puede pasar, y la tabla NAT dice como cambiar la
dirección para que el invento funcione.
El manual de iptables dice sobre MASQUERADING:
MASQUERADE
This target is only valid in the nat table, in the
POSTROUTING chain. It should only be used with dynami
cally assigned IP (dialup) connections: if you have a
static IP address, you should use the SNAT target...
Por lo menos esto es lo que yo he entendido hasta ahora.
--
Christoph Simon
datageo@terra.com.br
---
^X^C
q
quit
:q
^C
end
x
exit
ZZ
^D
?
help
shit
.
Reply to: