Timur Batyrshin пишет:
> On Tue, 06 May 2008 11:43:03 +0300
> Денис Ягофаров wrote:
>
>   
>>>     Я себе для такого соорудил инит-скрипт. Прилагаю для
>>> рассмотрения. ... iptables -t nat -A POSTROUTING -s 192.168.2.0/24
>>> -o eth0 -j MASQUERADE ...
>>>       
>> # iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j
>> MASQUERADE iptables: No chain/target/match by that name
>>
>> хм... ему для OVZ дополнительные модули нужны? Всё, что есть на HN:
>>     
>
> Не могу ничего сказать насчет модулей, но если на хосте адрес
> статический, то судя по тому же iptables tutorial лучше использовать
> вместо маскарада SNAT.
> Ну и если кроме 80 и 21 порта ничего не должно проходить, то это правило
> не нужно, зато нужен запрет на прохождение пакетов, т.к. иначе во
> внешнюю сеть будут валиться пакеты с внутренними адресами.
>   
Как всё выглядит сейчас:
Клиент (у него указан шлюз) -- (eth0 проброшеный в контейнер) роутер 
(маршрутизация в Сеть)
Как я хочу:
Клиент (у него указан шлюз) -- (eth0 проброшеный в контейнер) роутер 
(переброс 80 и 21 портов) -- прокси -- роутер (маршрутизация в Сеть)
... при этом ssh/pop3/smtp и т.п. спокойно проходят в Сеть ...

Как я представляю это "на пальцах":
NetFilter определяет, что соединение организовывается во внешнюю сеть на 
80-й порт, он перенаправляет всё на прокси, и получая ответы от прокси 
отсылает их коиенту. При этом, как я понимаю, клиент считает, что ему 
отвечает запрашиваемый ресурс...