https://opennet.ru/openforum/vsluhforumID12/5610.html Такая ситуэшен: Был почтовый и прокси сервер(192.168.2.2) на RHL.Спустя долгие годы машинка перестала справляться и Squid перенес на фряшный фаирвол(192.168.2.1), а под почтовый сервак купил новую железку и с закрутил на неё CentOS. Пришло время всё переносить, и что бы не бегать перенастраивать у всех пользователей настройки интернет браузера, решил перебросить просто порт с 192.168.2.2:3128 -&gt; 192.168.2.1:3128. Забил в iptables правила в старенькой RHL:<br>/sbin/iptables -t nat -A PREROUTING -p tcp -d 192.168.2.2 --dport 3128 -j DNAT --to-destination 192.168.2.1<br>/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.2.1 --dport 3128 -j ACCEPT<br>/sbin/iptables -t nat -A PREROUTING -p udp -d 192.168.2.2 --dport 3128 -j DNAT --to-destination 192.168.2.1<br>/sbin/iptables -A FORWARD -i eth0 -p udp -d 192.168.2.1 --dport 3128 -j ACCEPT<br>/sbin/iptables -t nat -A POSTROUTING -p tcp -d 192.168.2.1 --dport 3128 -j SNAT --to-source 192.168.2.2<br><br>...и о чудо, всё заработало. Подошло заменить RHL и поставить новый сервант с https://opennet.ru/openforum/vsluhforumID12/5610.html#7 Sat, 28 Jun 2008 19:41:54 GMT &gt;&gt;Ну может кто знает почему одни и теже правила для Iptables на <br>&gt;&gt;одной машине работаю, а на другой,той же ветке OS, не работают? <br>&gt;&gt;Может дело вовсе и не в iptables. <br>&gt;<br>&gt;все таки: echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br>&gt;<br>&gt;и все заработает! <br><br>Действительно, это и минус тупняк и вышел аленький цветочек...<br> https://opennet.ru/openforum/vsluhforumID12/5610.html#6 Wed, 25 Jun 2008 13:31:26 GMT &gt;Ну может кто знает почему одни и теже правила для Iptables на <br>&gt;одной машине работаю, а на другой,той же ветке OS, не работают? <br>&gt;Может дело вовсе и не в iptables. <br><br>все таки: echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br>и все заработает!<br> https://opennet.ru/openforum/vsluhforumID12/5610.html#5 Wed, 25 Jun 2008 06:25:28 GMT Ну может кто знает почему одни и теже правила для Iptables на одной машине работаю, а на другой,той же ветке OS, не работают? Может дело вовсе и не в iptables. <br> https://opennet.ru/openforum/vsluhforumID12/5610.html#4 Mon, 23 Jun 2008 10:06:12 GMT &gt;интерфейс, судя по правилам, используется один, но все же можно попробывать <br>&gt;echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br>/sbin/iptables -t nat -A POSTROUTING -p tcp -d 192.168.2.1 --dport 3128 -j SNAT --to-source 192.168.2.2<br><br>может еще эту строчку для udp добавить не мешало бы?<br> https://opennet.ru/openforum/vsluhforumID12/5610.html#3 Fri, 20 Jun 2008 14:08:28 GMT интерфейс, судя по правилам, используется один, но все же можно попробывать <br>echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br> https://opennet.ru/openforum/vsluhforumID12/5610.html#2 Fri, 20 Jun 2008 13:33:49 GMT &gt;IMHO <br>&gt;для решения задачи достаточно одного DNAT'а и одного FORWARD'а -- у вас <br>&gt;тут чёрт ногу сломит <br><br>Ну вообще-то проброс и для tcp и для udp делается, но суть не в этом. Я так понял оно не работает с DNAT и с FORWARD'ом, а по мануалу iptables SNAT на обратку требуется, без него работать не будет на самом деле. <br><br>Если правильно помню вводную: система CentOS, ядро 2.6, на предыдущей машине эти правила работали как надо (rh8, 2.4).<br><br>Идея такая: строки с REJECT, DROP на время теста отключить нужно, если они есть, а если нет... то идей тоже нет :(<br> https://opennet.ru/openforum/vsluhforumID12/5610.html#1 Fri, 20 Jun 2008 12:19:03 GMT IMHO<br>для решения задачи достаточно одного DNAT'а и одного FORWARD'а -- у вас тут чёрт ногу сломит<br><br><br>