Problemy s presmerovanim pomoci iptables a DNAT
Dalibor Straka
dast na panelnet.cz
Pondělí Září 22 12:24:52 CEST 2003
On Mon, Sep 22, 2003 at 12:16:30PM +0200, Ivo Panacek wrote:
> Dne pondělí 22 září 2003 11:16 jste napsal(a):
> > Muzete mi nekdo poradit, co delam spatne?
> >
> >
> > [0:0] -A PREROUTING -d 1.1.1.163 -p tcp -m tcp --dport 25 -j DNAT
> > --to-destination 192.168.2.3:25
> >
> > [14608:952293] -A POSTROUTING -o eth0 -j MASQUERADE
> >
> > #[0:0] -A POSTROUTING -o eth0 -j SNAT --to 1.1.1.163
>
> Rekl bych, ze tohle pravidlo by melo prijit DRIV nez predchozi POSTROUTING
>
> >
> > [236:12128] -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
> >
> > [604318:325093912] -A FORWARD -m state --state
> > RELATED,ESTABLISHED -j ACCEPT
> >
> > [14781:935116] -A FORWARD -i eth1 -j ACCEPT
> >
> > [345003:131381618] -A OUTPUT -m state --state RELATED,ESTABLISHED
> > -j ACCEPT
> >
> > COMMIT
>
> Co se DNAT tyka, to mam funkcni a uplne stejne!
> (I kdyz se priznam, ze tenhle vypis v iptables-save formatu
> se mi moc dobre necte :)
>
> Doporucuji zkusit logovat DROPy ? (Tj jako posledni
> pravidlo pred -P chain DROP pridat logovani).
>
Pro dlouhodobejsi logovani doporucuji --limit.
Pravidlo Prerouting je dobre. Mrknete se do logu kdepak se to
v tom forwardu :)))) zahazuje.
-- Dalibor Straka
Další informace o konferenci Linux