- Проброс порта fedora + iptables, angra, 08:09 , 24-Ноя-08 (1)
- Проброс порта fedora + iptables, Grave, 13:58 , 24-Ноя-08 (3)
>>iptables -t nat -A POSTROUTING -p TCP -s $local_IP -j MASQUERADE --dport $portnumber > >Вообще-то это SNAT и каким образом связано с проброской порта непонятно. Под >проброской обычно подразумевается DNAT(в паре с SNAT). Попробуйте для начала объяснить >откуда куда вы пытаетесь соединится и какие правила уже есть на >шлюзе. Я читал про это, что-то пробовал, но у меня не вышло. Может мне кто-нибудь на пальцах объяснить в чем разница между тем, что делаю я и тем, что делают через DNAT и SNAT.
- Проброс порта fedora + iptables, Andrey Mitrofanov, 14:18 , 24-Ноя-08 (4)
- Проброс порта fedora + iptables, Grave, 14:28 , 24-Ноя-08 (5)
>[оверквотинг удален] > >MASQUERADE - разновидность SNAT-а для "динамических" интерфейсов. Отличие в том, что со >SNAT явно указывается, какой исходящий ip "подставлять", а MASQ на каждый >пакет "дёргает" интерфейс, чтобы взять с него соотв.адрес. Соответственно MASQ. "грузит" >процессор больше, но необходим, когда нет "статического" внешнего ip. Или вроде >того, не знаю. > >Набери вверху, в [поиск]-е по форумам, например, MASQUERADE SNAT... > >+TFM https://www.opennet.ru/docs/RUS/iptables/ RTFM я уже прочел на 10 раз, распечатал и он у меня как настольная книга. поэтому я это уже читал. Меня смущает другое, что цитрикс ходит через маскарад, а RDP нет, в чем принципиальная разница?
- Проброс порта rdp, Andrey Mitrofanov, 14:47 , 24-Ноя-08 (6)
- Проброс порта fedora + iptables, angra, 17:15 , 24-Ноя-08 (7)
- Проброс порта fedora + iptables, Grave, 06:47 , 26-Ноя-08 (8)
>Еще раз. Вам из локалки нужно коннектится на rdp порт в мире >или из мира нужен коннект на rdp порт машины в локалке? Да, я пытаюсь зацепиться на сервер во внешнем мире. >Если первое то это SNAT(как было верно замечено MASQURADE его вариант для >динамических ip) и если вы хотите его ограничить по портам, то >пишите --dport в условии, а не в действии. а можно по подробнее об условиях и действиях, вроде в мануале я читал, что порядок команд не важен, как тогда отличить где идет условие, а где действие. P.S. у меня динамический IP но с привязкой по mac фильтрующих правил нет, я пока с ними еще не экспериментировал. есть несколько правил с маскорадом в таблице nat, пример я уже приводил.
- Проброс порта fedora + iptables, Grave, 13:44 , 01-Дек-08 (9)
Нашел одну из проблем в сложной иерархии сети пакеты терялись, но сейчас другой косяк использую правило iptables -t nat -A POSTROUTING -s 192.168.0.98 --out-interface eth1 -j SNAT --to-source X.X.X.X Пинг до серваков ходит, а подцепиться я никак не могу. Как можно отследить какие правила действуют на пакет ?
- iptables, Andrey Mitrofanov, 10:29 , 24-Ноя-08 (2)
|