https://www.opennet.dev/openforum/vsluhforumID10/5353.html Добрый день! Есть такая схемка:<br><br>client -&gt; proxy:5060 -&gt; server:5060<br><br>Приложение клиента общается с proxy:tcp:5060. Прокси работает прозрачно, используя TPROXY (реализовано через haproxy), т.е. он берёт IP:PORT клиента, и при пересылке пакетов на server, подставляет их как SOURCE. Сервер видит, что отправитель пакетов - client, и отправляет пакеты на client:IP:PORT, НО cо своим адресом в поле SOURCE (server:tcp:5060), следовательно, клиент не сможет обработать эти сообщения, т.к. он ждёт ответа от proxy:tcp:5060. И поэтому я хочу научить сервер подставлять в поле SOURCE ip адрес proxy сервера (proxy:tcp:5060)<br><br>Добавляю правило:<br>[code]# Generated by iptables-save v1.3.5 on Thu Nov 5 14:38:24 2015<br>*mangle<br>:PREROUTING ACCEPT [710363:567027885]<br>:INPUT ACCEPT [704372:566539955]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [753088:91182712]<br>:POSTROUTING ACCEPT [753309:91198200]<br>COMMIT<br># Completed on Thu Nov 5 14:38:24 2015<br># Generated by iptables-save v1.3.5 on Thu Nov 5 14:38:24 2015<br>*nat<br>:PREROUTING https://www.opennet.dev/openforum/vsluhforumID10/5353.html#3 Sat, 07 Nov 2015 07:59:29 GMT snat в output в сторону клиента пробовали?<br> https://www.opennet.dev/openforum/vsluhforumID10/5353.html#2 Fri, 06 Nov 2015 07:25:40 GMT &gt;[оверквотинг удален]<br>&gt; Две сроки выше противоречат. Если "$чего-то-там прозрачно", то клиент должен соединяться <br>&gt; с server:5060 и имеет полное право ничего не знать об прокси, <br>&gt; прозрачности, NAT-ах.<br>&gt;&gt; адресом в поле SOURCE (server:tcp:5060), следовательно, клиент не сможет обработать эти <br>&gt;&gt; сообщения, т.к. он ждёт ответа от proxy:tcp:5060. И поэтому я хочу <br>&gt;&gt; научить сервер подставлять в поле SOURCE ip адрес proxy сервера (proxy:tcp:5060) <br>&gt; Да, Вы делаете что-то не так. Либо "[клиент] ждёт ответа от proxy:tcp:5060", <br>&gt; либо "$чего-то-там прозрачно". Никаких смесей и блендов.<br>&gt;&gt; Добавляю правило: <br>&gt; Проблема не а правилах.<br><br>Кароче. Мне нужно отправлять пакеты на один сервер (сервер A), там это дело будет проксироваться (на сервер B с подменой src ip), и получать ответы от другого (сервер C)<br><br>Нашел способ использовать для этого stateless nat используя tc и подменяя src ip сервера C на ip сервера А, НО текущая версия ядра на сервере С, похоже, этого не желает делать:<br><br>[code]<br># tc filter https://www.opennet.dev/openforum/vsluhforumID10/5353.html#1 Thu, 05 Nov 2015 14:28:34 GMT &gt; client -&gt; proxy:5060 -&gt; server:5060 <br>&gt; Приложение клиента общается с proxy:tcp:5060.<br>&gt; Прокси работает прозрачно, используя TPROXY <br><br>Две сроки выше противоречат. Если "$чего-то-там прозрачно", то клиент должен соединяться с server:5060 и имеет полное право ничего не знать об прокси, прозрачности, NAT-ах.<br><br>&gt; адресом в поле SOURCE (server:tcp:5060), следовательно, клиент не сможет обработать эти <br>&gt; сообщения, т.к. он ждёт ответа от proxy:tcp:5060. И поэтому я хочу <br>&gt; научить сервер подставлять в поле SOURCE ip адрес proxy сервера (proxy:tcp:5060) <br><br>Да, Вы делаете что-то не так. Либо "[клиент] ждёт ответа от proxy:tcp:5060", либо "$чего-то-там прозрачно". Никаких смесей и блендов.<br><br>&gt; Добавляю правило: <br><br>Проблема не а правилах.<br>