Гуру, плиз хелп :)
Есть след. задача:
имеются две машины (redhat 7.3 (2.4.18-3), iptables 1.2.5) с адресами ххх.ххх.ххх.ххх и ууу.ууу.ууу.ууу (в разных сетях!)
на ххх.ххх.ххх.ххх прописано след.:iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.ууу
При telnet/ping на любой хост (zzz.zzz.zzz.zzz) меня видят как ууу.ууу.ууу.ууу, НО все ответы с этого хоста валятся на ууу.ууу.ууу.ууу, что и НАДО!
Так вот, как мне перенаправить пакеты пришедшие с zzz.zzz.zzz.zzz на ууу.ууу.ууу.ууу обратно на xxx.xxx.xxx.xxx?пробовал iptables -A PREROUTING -t nat -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx (т.е. якобы вообще весь траф перенапрвлял, а не только порты или протоколы)
так же пробовал ipchains и ip rule не ходят пакетики... Народ, что делать, может я что-то недоделываю?
Насколько мне видиться решение проблемы лежит в том что нет обратной связи между
ууу.ууу.ууу.ууу и ххх.ххх.ххх.ххх
ууу прокидыват пакеты с zzz на ххх а вот потверждение об приеме пакетов от ххх для ууу не прохордят....(служебная информация пакетов...)
>Насколько мне видиться решение проблемы лежит в том что нет обратной связи
>между
>ууу.ууу.ууу.ууу и ххх.ххх.ххх.ххх
>ууу прокидыват пакеты с zzz на ххх а вот потверждение об приеме
>пакетов от ххх для ууу не прохордят....(служебная информация пакетов...)В том то и дело, что с yyy на xxx ничего не валится :( т.е. ни "tcpdump" ни
"iptables -A INPUT -j LOG --log-level debug" не отображают входящих пакетов на ххх. В то время как на zzz видны IN пакеты с xxx, а на yyy с zzz.
Мне кажется, что что-то не то с yyy (чего-то не хватает :( а чего не знаю...
Думаю, ip_conntrack не работает или не подгружен.
>Думаю, ip_conntrack не работает или не подгружен.
lsmod:
ip_conntrack 21132 1 (autoclean) [iptable_nat]
т.е. подгружен....я использую на xxx только:
iptables -t nat -F
iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.уууа на yyy только:
iptables -t nat -F
iptables -A PREROUTING -t nat -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx
+ логи ведутся.., может на ууу надо использовать INPUT, FORWARD или OUTPUT?
Дело в том, что судя по доке DNAT сам должен пересылать пакеты с ууу на ххх или ему еще как-то помогать надо?
не очень понятно, является ли один из хостов шлюзом обеих сетей xxx, yyy - из условия это не видно, но как я понял, является, иначе SNAT как бы ни при чем. Если одна из машин - шлюз, то нужно безусловно описать еще и форвардный трафик на шлюзе. А на второй машине тогда nat зачем? Если посмотреть, что происходит:
первый хост все пакеты от ххх (от себя?) перемаркирует в от yyy, а второй хост все макеты для yyy (для себя?) перемаркирует для xxx... Непонятна цель такой перемаркировки. Можно уточнить схему сетей?
>не очень понятно, является ли один из хостов шлюзом обеих сетей xxx,
>yyy - из условия это не видно, но как я понял,
>является, иначе SNAT как бы ни при чем. Если одна из
>машин - шлюз, то нужно безусловно описать еще и форвардный трафик
>на шлюзе. А на второй машине тогда nat зачем? Если посмотреть,
>что происходит:
>первый хост все пакеты от ххх (от себя?) перемаркирует в от yyy,
>а второй хост все макеты для yyy (для себя?) перемаркирует для
>xxx... Непонятна цель такой перемаркировки. Можно уточнить схему сетей?ххх, ууу и zzz находятся в абсолютно разных сетях и шлюзами друг для друга не являются :( из-за чего и пытаюсь использовать DNAT для пересылки пакетов zzz с ууу на ххх...
Тогда я совсем не понял - при чем здесь NAT... Есть же REDIRECT?
>Тогда я совсем не понял - при чем здесь NAT... Есть же
>REDIRECT?
ОК, есть :) но судя по доке только для портов, или я не прав?
да.
и все таки, не ясно, чего предполагается добиться. думаю, в этом и проблема :)))
>да.
>и все таки, не ясно, чего предполагается добиться. думаю, в этом и
>проблема :)))
сорри, может я неверно опсиал задачу, но перечитав ее понимаю, что ничего в нее добавиьт не могу :(
есть 3 машины..
на 1-ой подменяется ip на ip 3-й..
цепляемся на 2-ю машину, она думает что я 3-й и соответсвенно все out пакеты кидает на 3-ю машину... дык вот, мне надо, чтобы все пакеты с 2-й на 3-ю машину формардились на 1-ю, от имени 2-й....
такой вот односторонний любовный трехугольник, т.е. все пакеты идут по цепочке в одну сторону:1->3->2->1-..........-3->2->1
а, млин, въехал, наконец-то :)
какие политики цепей на обеих машинах (filter INPUT, OUTPUT; nat) - drop или accept?
что видно в tcpdump на этих хостах?
ведется ли журнал дропнутых пакетов на обеих машинах и если да, что там видно?
>а, млин, въехал, наконец-то :)
>какие политики цепей на обеих машинах (filter INPUT, OUTPUT; nat) - drop
>или accept?
>что видно в tcpdump на этих хостах?
>ведется ли журнал дропнутых пакетов на обеих машинах и если да, что
>там видно?
я использую на xxx только:
iptables -t nat -F
iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.уууа на yyy только:
iptables -t nat -F
iptables -A PREROUTING -t nat -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxxбольше вообще ничего не прописываю....
INPUT, OUTPUT и FORWARD надо акксептить? где и чего :) ?может в route что-дь добавить?
iptables -L -v
и добавить в каждую из цепей правило -j LOG - пакеты-то где-то дохнут на yyy, значит д.б. следы :)))
сорри, долго врубался в "хитрый план". теперь понял идею.
а на yyy в журналах netfilter тоже пусто?
>сорри, долго врубался в "хитрый план". теперь понял идею.
>а на yyy в журналах netfilter тоже пусто?....
короче, для начала хотя бы с одним портом разобраться на ууу:iptables -t nat -A PREROUTING -p tcp -d ууу.ууу.ууу.ууу --dport 81 -j DNAT --to-source ххх.ххх.ххх.ххх:80
iptables -A INPUT -p tcp -j LOG --log-level debug
iptables -A OUTPUT -p tcp -j LOG --log-level debug
iptables -A FORWARD -p tcp -j LOG --log-level debugдля теста: я стучусь с zzz на yyy 81 и вужу Trying ууу.ууу.ууу.ууу ...
в логах ууу ничего вообще не появляется, т.е. 81 порт типа слушается или перенаправляется, но IN и OUT пакетов нету :(
только в tcpdump port 81 есть вход. пакеты с zzz, но в ответ так же ничего не шлется
а iptables -t nat -L
Chain PREROUTING (policy ACCEPT 105 packets, 16641 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- any any anywhere ууу.ууу.ууу.ууу tcp dpt:81 to:xxx.xxx.xxx.xxx:80
a 'iptables -t filter -L'?
Но, судя по тому, что '-t nat -P ACCEPT', все остальное тоже.предположение:
пакет попадает на yyy, сразу перемаркируется на '-d xxx' и умирает. Почему это может быть? Может быть, 'ip_forwarding = 0'?
>a 'iptables -t filter -L'?
>Но, судя по тому, что '-t nat -P ACCEPT', все остальное тоже.
да, все чисто, только логи...
>предположение:
>пакет попадает на yyy, сразу перемаркируется на '-d xxx' и умирает. Почему
>это может быть? Может быть, 'ip_forwarding = 0'?
ip_forward=1...хорошо предположим, что он становится -d xxx в PREROUTING, но он же должен куда-то дальше идти, как его вытолкнуть наружу?
routr add xxx.xxx.xxx.xxx eth0 не помогает (делаю уже все, что хоть как-то может помочь :-/
Другими словами, как мне вообще реализовать перенаправление трафа с zzz через ууу на ххх
я думал так:
iptables -t nat -A POSTROUTING -s zzz.zzz.zzz.zzz -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx, а оказалось что это работает только с локальными для yyy.yyy.yyy.yyy адресами и портами...
Т.е. с локальными адресами (адресами, лежащими в рамках одной подсети) это работает?
>Т.е. с локальными адресами (адресами, лежащими в рамках одной подсети) это работает?
>
ну да, т.е. в работоспособности DNAT я не сомневаюсь, а вот как перекинуть интересующий траф в другую, совсем другую сеть мне не понятно :(
х.з., надо пробовать. везде, правда, написано, что весь (туда-обратно) nat-трафик должен проходить через nat-хост, но, в случае нарушения правила, обломы предрекались только из-за conntrack и фрагментации-дефрагментации пакетов... Если такая схема (треугольник) в рамках одной сети работает, а при разносе по разным - перестает, можно предположить, что собака порылась где-то в местах соединения сетей, либо в таблицах маршрутов. хотя то, что пакет тихо дохнет после перемаркировки, - странно...
>х.з., надо пробовать. везде, правда, написано, что весь (туда-обратно) nat-трафик должен проходить
>через nat-хост, но, в случае нарушения правила, обломы предрекались только из-за
>conntrack и фрагментации-дефрагментации пакетов... Если такая схема (треугольник) в рамках одной
>сети работает, а при разносе по разным - перестает, можно предположить,
>что собака порылась где-то в местах соединения сетей, либо в таблицах
>маршрутов. хотя то, что пакет тихо дохнет после перемаркировки, - странно...
>3 дня уже пробую, я его и так и этак :))) мож есть какой-дь другой способ редиректнуть вхо. траф?
зацепило это меня :)) завтра сам попробую. для начала - в одной ip сети.
>зацепило это меня :)) завтра сам попробую. для начала - в одной
>ip сети.
Жду результатов!
>судя по доке DNAT сам должен пересылать пакеты с ууу на ххх
должен, если ему можно :-)
на ууу надо бы что-то типа
iptables -A forward -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j accept
iptables -A forward -d ххх.ххх.ххх.ххх -o eth1 -m state --state established,connected -j accept
(навскидку, не обдумываю).
>>судя по доке DNAT сам должен пересылать пакеты с ууу на ххх
>должен, если ему можно :-)
>на ууу надо бы что-то типа
>iptables -A forward -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j accept
>iptables -A forward -d ххх.ххх.ххх.ххх -o eth1 -m state --state established,connected -j
>accept
>(навскидку, не обдумываю).в iptables нет статуса connected, только NEW, ESTABLISHED, RELATED и INVALID.
что значит можно? ктож ему запрещает то :))) шучу.. не катит твоя схема :( пакетики все рано теряются :( + ко всему сетевой девайс один, т.е. на всех 3 тачках одна сетевая и один внешний ip.
>что значит можно? ктож ему запрещает то :)))
Я это, в смысле...
в таблице -t nat только переписывается source & dest, кроме этого еще разрешение пропускать пакеты должно быть.
Пропиши в конце каждой цепочки -j LOG --log-prefix prefix <...> и посмотри, что где куда не проходит.
Конечно, при условии, что ip_forwarding=1 и IPTABLES -P * DROP.
echo 1 > /proc/net/ipv4/ip_forward???
>echo 1 > /proc/net/ipv4/ip_forward???
Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой порт но на локальной машине. Я пишу вот это:[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport 1352 -j DNAT --to-destination 192.168.1.2:1352
И мне он выдает вот это:
/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters
modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
modprobe: insmod ip_tables failed
iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.Стоит у меня Mandrake8.1
Что делать и как? Если можно то поподробнее я с линуксом знаком не давно и едро пересобирать не умею.
>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>порт но на локальной машине. Я пишу вот это:
>
>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>1352 -j DNAT --to-destination 192.168.1.2:1352
>
>И мне он выдает вот это:
>
>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>Device or resource busy
>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>IO or IRQ parameters
>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>modprobe: insmod ip_tables failed
>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.
>
>Стоит у меня Mandrake8.1
>
>Что делать и как? Если можно то поподробнее я с линуксом знаком
>не давно и едро пересобирать не умею.Не знаю как в мандрайке, в RH7.3 по умолчанию стоит и пакет iptables, и
ip chains, если я правильно понял iptables просто не подключен.
Пробуй просто убрать из загрузочных скриптов запуск ipchains, оставив только iptables. Вместе они работать не могут, ядро по-идее пересобирать не нужно...
А чтобы понять, так ли это, глянь вывод 'lsmod' (или пришли сюда).
>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>порт но на локальной машине. Я пишу вот это:
>
>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>1352 -j DNAT --to-destination 192.168.1.2:1352
>
>И мне он выдает вот это:
>
>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>Device or resource busy
>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>IO or IRQ parameters
>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>modprobe: insmod ip_tables failed
>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.
>
>Стоит у меня Mandrake8.1
>
>Что делать и как? Если можно то поподробнее я с линуксом знаком
>не давно и едро пересобирать не умею.
Ядро пересобирать не нужно..
>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>>порт но на локальной машине. Я пишу вот это:
>>
>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>>1352 -j DNAT --to-destination 192.168.1.2:1352
>>
>>И мне он выдает вот это:
>>
>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>>Device or resource busy
>>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>>IO or IRQ parameters
>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>>modprobe: insmod ip_tables failed
>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>>to insmod?)
>>Perhaps iptables or your kernel needs to be upgraded.
>>
>>Стоит у меня Mandrake8.1
>>
>>Что делать и как? Если можно то поподробнее я с линуксом знаком
>>не давно и едро пересобирать не умею.
>Ядро пересобирать не нужно..Всем от меня огромное спасибо за советы! Вы просто отличные друзья!
Спасибо!
>>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>>>порт но на локальной машине. Я пишу вот это:
>>>
>>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>>>1352 -j DNAT --to-destination 192.168.1.2:1352
>>>
>>>И мне он выдает вот это:
>>>
>>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>>>Device or resource busy
>>>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>>>IO or IRQ parameters
>>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>>>modprobe: insmod ip_tables failed
>>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>>>to insmod?)
>>>Perhaps iptables or your kernel needs to be upgraded.
>>>
>>>Стоит у меня Mandrake8.1
>>>
>>>Что делать и как? Если можно то поподробнее я с линуксом знаком
>>>не давно и едро пересобирать не умею.
>>Ядро пересобирать не нужно..
>
>Всем от меня огромное спасибо за советы! Вы просто отличные друзья!
>Спасибо!
это снова я!
после этой статьи я отключил ipchains и после чего iptables не ругался.
но возникла следующая проблема, пропал интернет на локальных машинах!?
может быть я что nо упустил7
кто сможет ответить? как мне перенаправить порт на локальную машину (192.168.1.2:1352) c роутера (81.30.192.36) и при этом чтобы работал интернет на всех остальных машинах!
мои интерфейсы:
=РОУТЕР=
eth0 - 192.168.1.1
eth1 - 81.31.192.36=ЛОКАЛЬНЫЙ КОМП=
eth0 - 192.168.1.2
На нем стоит Лотус-сервер и ждет письма.ЕЩЕ раз прошу прощения!
ДЕНИС.
>>>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>>>>порт но на локальной машине. Я пишу вот это:
>>>>
>>>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>>>>1352 -j DNAT --to-destination 192.168.1.2:1352
>>>>
>>>>И мне он выдает вот это:
>>>>
>>>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>>>>Device or resource busy
>>>>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>>>>IO or IRQ parameters
>>>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>>>>modprobe: insmod ip_tables failed
>>>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>>>>to insmod?)
>>>>Perhaps iptables or your kernel needs to be upgraded.
>>>>
>>>>Стоит у меня Mandrake8.1
>>>>
>>>>Что делать и как? Если можно то поподробнее я с линуксом знаком
>>>>не давно и едро пересобирать не умею.
>>>Ядро пересобирать не нужно..
>>
>>Всем от меня огромное спасибо за советы! Вы просто отличные друзья!
>>Спасибо!
>
>
>это снова я!
>после этой статьи я отключил ipchains и после чего iptables не ругался.
>
>но возникла следующая проблема, пропал интернет на локальных машинах!?
>может быть я что nо упустил7
>кто сможет ответить? как мне перенаправить порт на локальную машину (192.168.1.2:1352) c
>роутера (81.30.192.36) и при этом чтобы работал интернет на всех остальных
>машинах!
>мои интерфейсы:
>=РОУТЕР=
>eth0 - 192.168.1.1
>eth1 - 81.31.192.36
>
>=ЛОКАЛЬНЫЙ КОМП=
>eth0 - 192.168.1.2
>На нем стоит Лотус-сервер и ждет письма.
>
>ЕЩЕ раз прошу прощения!
>ДЕНИС.
Не совсем понял проблему...
А вообще - читай IPTABLES-howto
>>>>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>>>>>порт но на локальной машине. Я пишу вот это:
>>>>>
>>>>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>>>>>1352 -j DNAT --to-destination 192.168.1.2:1352
>>>>>
>>>>>И мне он выдает вот это:
>>>>>
>>>>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>>>>>Device or resource busy
>>>>>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>>>>>IO or IRQ parameters
>>>>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>>>>>modprobe: insmod ip_tables failed
>>>>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>>>>>to insmod?)
>>>>>Perhaps iptables or your kernel needs to be upgraded.
>>>>>
>>>>>Стоит у меня Mandrake8.1
>>>>>
>>>>>Что делать и как? Если можно то поподробнее я с линуксом знаком
>>>>>не давно и едро пересобирать не умею.
>>>>Ядро пересобирать не нужно..
>>>
>>>Всем от меня огромное спасибо за советы! Вы просто отличные друзья!
>>>Спасибо!
>>
>>
>>это снова я!
>>после этой статьи я отключил ipchains и после чего iptables не ругался.
>>
>>но возникла следующая проблема, пропал интернет на локальных машинах!?
>>может быть я что nо упустил7
>>кто сможет ответить? как мне перенаправить порт на локальную машину (192.168.1.2:1352) c
>>роутера (81.30.192.36) и при этом чтобы работал интернет на всех остальных
>>машинах!
>>мои интерфейсы:
>>=РОУТЕР=
>>eth0 - 192.168.1.1
>>eth1 - 81.31.192.36
>>
>>=ЛОКАЛЬНЫЙ КОМП=
>>eth0 - 192.168.1.2
>>На нем стоит Лотус-сервер и ждет письма.
>>
>>ЕЩЕ раз прошу прощения!
>>ДЕНИС.
>Не совсем понял проблему...
>А вообще - читай IPTABLES-howto
А попробуй вот так:iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -j SNAT --to-source ууу.ууу.ууу.ууу
iptables -A FORWARD -d ххх.ххх.ххх.ххх -j ACCEPT
После этих мучений я понял какой я лаймер.
Мне попался спец.выпуск журнала Chip и там все ясно написано, что да как.
Да, ipchains не нуден а только iptables.
1. поставил ОС с нулевыми параметрами.
2. добавил в modules.conf строчку своей радиокарты а иначе она не будет работать:
alias eth1 realtek
alias eth2 airo
options ssids=XXXXXxXX
3. отредактировал файл sysctl:
forward_IP4 вообщем в место 0 поставил 1 (разрешить передачу пакетов)
Тем самым я обиспечил локалку инетом.
4. #modprobe iptable_nat - добавил NAT.
5. #iptables разрешить_все_и_для_ всех
6. #iptables редирект_порта_1352
7. #service iptables save - сохранение цепочки в файл /etc/sysconfig/iptables
8. поставил телнет-сервер
9. убрал монитор, клаву.
10. спрятал корпус в сейф и все.
Теперь и инет есть в локалке и редирект работает. Конечно о безопасности я не позаботился но это... другая история.
Для того, что бы мне этого добится ушло 3 недели а вот если бы я это все раньше знал, то зделал бы за 3 минуты.
Спасибо за проявленный интерес.
Досвидание!
чтобы перебросить трафик с порта на порт на локальной машине, не следует пользоваться DNAT, для этого есть REDIRECTс уважением
Евгений
есть такое соображение:постулат:
не возможно получить на машине пакет, подменить на нём адрес назначения и вукинуть через тот же интерфейс, через который пакет пришёл - практика это доказываетследовательно 1:
машина yyyy должна иметь по меньшей мере сетевых интерфейса, и через один доступаться к xxxx, а через другой к zzz [ то есть быть одним из роутеров (или прямым шлюзом) на пути от xxx к zzz]следовательно 2:
правила надо писать не на xxx, а на yyy
iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.уууи всё заработает
надеюсь, что этот пост поможет
с уважением,
Евгений