RE: iptables a přesměrované porty

[ArtComp - Petr Lorenc]

>	Strilim takhle po ranu od boku, ale nestacilo by vyhodit '-i 
>	$INET_IFACE'? Je jasne, ze kdyz pravidlo plati jen pro 
>	pakety, ktere 
>	prijdou pres vnejsi interface, tak pro pakety z vnitrni 
>	site, ktere 
>	chodi pres vnitrni interface se tohle pravidlo nechytne 
>	a tudiz vam to 
>	nebude fungovat jak cekate.
>	
>	Michal Ludvig
>	

To jsem tam zapomněl po pokusech. Původně jsem to měl bez -i. Vysvětlení
proč to nefunguje je ve starším příspěvku.

Jestli jsem dobře pochopil situaci, stane se zhruba toto: v chainu 
PREROUTING přepíšete cílovou adresu na adresu v témže segmentu, jako 
je odesílatel. Pak se teprve dostanou ke slovu routovací pravidla 
a zjistí, že paket přišel z nějaké IP na vnitřním segmentu a míří 
na jinou IP v témže segmentu. Takový paket se pak pochopitelně 
ignoruje. 

SNATování tento problém skutečně vyřeší

$EXTIP = ip na externim iface
$FRWDED = ip kam se to forwarduje
/sbin/iptables -A POSTROUTING -t nat -s <ip interni site>/24 -p tcp -d
$FRWDED -j SNAT --to $EXTIP

Petr