routing

[Jirka Kosina]

On Sat, 16 Mar 2002, Tomáš Vondra wrote:

> Postupuju v podstate podle Firewall-Proxy HOWTO. Zadnou maskaradu jsem
> nenastavoval, ip_forward je 0. Z routeru se v pohode pingnu jak do LAN
> tak do Internetu. A LAN se pingnu na vnitrni (192.168.1.100) adresu,
> ale i na vnejsi vnejsi stranu routeru, a to by pritom podle toho HOWTO
> jit nemelo.

To by podle mne jit melo, tim bych se netrapil - ve asi LAN stanice zjisti 
MAC adresu Vaseho routeru, a packetu adresovanemu na vnejsi rozhrani 
routeru priradi jako destination MAC adresu MAC adresu toho Vaseho routeru 
(sitovky eth1). Packet doputuje, sitovka ho shrabne, a preda jadru. Jadro 
se podiva, zjisti, ze se destination IP je lokalni, a tak packet zpracuje, 
packet FORWARD chainem afaik vubec nejde, protoze neni urceny ven 
(nedostane se z chainu INPUT do chainu OUTPUT).

> Vzhledem k tomu, ze mam od providera pevne pridelenou IP (10.5.11.71)
> a jsem na kabelu, tak jsem to chtel udelat pres SNAT v iptables (jak
> je v manualovych strankach doporucovano). Snazil jsem se tam dostat
> ruzna pravidla, jako napriklad
> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.5.11.71
> iptables -t nat -A POSTROUTING -d ! 192.168.1.0 -j SNAT --to-source
> 10.5.11.71
> ale bez ucinku. Nicmene nevim jestli se jedna o uvedeny problem s
> routovanim, nebo jestli je problem v konstrukci pravidla pro iptables.
> Jeste poznamka - ping z LAN na vnejsi stranu funguje at tam ta
> pravidla jsou nebo nejsou zavedena.

To vypada spravne.
Povolil jste pak packet forwarding? (tz. echo 1 > 
/proc/sys/net/ipv4/ip_forward).

-- 
JiKos.