NAT локального порта 8080 на удалённый 80

Anonymous · Сообщение **Anonymous** » 11 мар 2005, 22:57

Имеется:

локальная машина с Linux 192.168.0.X
удалённая (доступная через шлюз 192.168.0.253) 213.184.232.Y

Задача: локальные машины 192.168.0.0/24 при попытке http://192.168.0.X:8080 должны попадать на 213.184.232.Y:80.

Проблема: вроде делаю
# iptables -t nat -A PREROUTING -d 192.168.0.X -p tcp --dport 8080 -j DNAT --to 213.184.232.Y:80
# echo 1 > /proc/sys/net/ipv4/ip_forward

ping до 213.184.232.Y есть (через 192.168.0.253)

и нифига не работает (хотя пакеты вроде уходят)

kae · Сообщение **kae** » 12 мар 2005, 01:39

А шлюз из локалки в Инет SNAT или маскарад делает? Т.е. если прямо запросить 213.184.232.Y:80, оно работает?
...
Вот написал, и все это и возникло ощущение, что такое возможно только если есть forwаrd, т.е. на 192.168.0.X имеются два интерфейса... имхо

Andrei (admin)

ДЮ, МСФМН ДЕКЮРЭ SNAT+DNAT, ХМЮВЕ ОЮЙЕРШ АСДСР БНГБПЮЫЮРЭЯЪ МЕ РЕАЕ, Ю ЯПЮГС РНЛС РНБЮПХЫС, УНРЪ РНБЮПХЫ АСДЕР ФДЮРЭ ОЮЙЕРШ НР РЕАЪ.

2. БЮП-Р ОНОПНАСИ ssh port forwarding

Andrei (admin)

THE Fucking forum with charsets!

Why other forums don't have problems while this still have ?

mend0za · Сообщение **mend0za** » 12 мар 2005, 02:45

Andrei: я молюсь, чтобы ты был админом avilink'а, или я, или llama

КАК МЕНЯ ДОСТАЛО УДАЛЯТЬ КРИВЫЕ МЕССАГИ, ДВЕ СТРОЧКИ В php.ini И НЕТ НИКАКОГО ГЕМОРА!

Anonymous · Сообщение **Anonymous** » 12 мар 2005, 10:43

kae писал(а):А шлюз из локалки в Инет SNAT или маскарад делает? Т.е. если прямо запросить 213.184.232.Y:80, оно работает?
...
Вот написал, и все это и возникло ощущение, что такое возможно только если есть forwаrd, т.е. на 192.168.0.X имеются два интерфейса... имхо

В том-то и дело, что 213.284.232.Y:80 доступен через шлюз 192.168.0.253 (HDSL modem), по совместительству default gw.

На самом деле мне просто интересно - если я могу выставить NAT на модеме так, что извне порт модема 80 будет кидать пакеты 192.168.0.Y:80, то почему я не могу сделать противоположное - зазеркалить на внутреннем хосте какой-то внешний порт?

kae · Сообщение **kae** » 12 мар 2005, 13:48

Andrei (admin) писал

да, нужно делать SNAT+DNAT, иначе пакеты будут возвращаться не тебе, а сразу тому товарищу, хотя товарищ будет ждать пакеты от тебя.

Вот-вот, это имхо именно то самое. Приичем и DNAT и SNAT должны производиться на одном компе. А SNAT на DSL роутере - это уже другая тема...

Llama · Сообщение **Llama** » 12 мар 2005, 13:57

kae, причем строго говря, ничто не мешает делать NAT и на хосте и на модеме.

kae · Сообщение **kae** » 12 мар 2005, 14:37

Таки да. У меня оно так и работает... Правда таких хитрых перебросов я не делал. Но для этого случая нужно именно на хосте.

Anonymous · Сообщение **Anonymous** » 17 мар 2005, 14:57

Фсё понял, тему можно закрывать - т.к. удалённый комп напрямую твой не видит (тока через роутер), то сделать это только натом на компе нельзя.