From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mulder2000@mail333.com>
Message-ID: <3EBC4CEF.2010408@mail333.com>
Date: Sat, 10 May 2003 04:50:55 +0400
From: Mulder <mulder2000@mail333.com>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.3) Gecko/20030504
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=EE=C1=D3=D4=D2=CF=CA=CB=C1_NAT?=
References: <E19DNlv-000OYh-00.inlvenok-mail-ru@f11.mail.ru> <200305080128.50444.inlvenok@mail.ru> <3EB9F377.4090908@symmetron.msk.ru> <200305081528.05153.inlvenok@mail.ru>
In-Reply-To: <200305081528.05153.inlvenok@mail.ru>
X-Enigmail-Version: 0.73.1.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/3EBC4CEF.2010408@mail333.com/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Maria Shakhova пишет:

>>SNAT позволяет пользователям локальной сети по своей инициативе откывать
>>внешние соединения.
>>Почтовый сервер работает на прием. Если почтоый сервер во внутренней
>>сети для 25 (113) порта
>>необходимо настроить DNAT. Поскольку статический IP не один, советую
>>использовать под почту
>>дополнительный IP, настроив на шлюзе IPalias.
>>    
>>
>То есть нельзя сделать просто переадресацию запроса пользователя с удаленной 
>машины на удаленный почтовый сервер и после ответа (открыто получение почты) 
>этот ответ перенаправить? Почтовый сервер обязательно ставить? Я думала 
>,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового 
>сервера -- с другой машиной экспериментировали -- почта у всей локалки 
>получается)
>  
>

Все это можно.
Вот как, приблизительно, у меня, но тут вообще полный доступ наружу для 
компов локалки, а не только почту, если надо, например, только почту по 
POP, то в цепочке POSTROUTING таблицы nat  указать конкретные порты , на 
которые разрешен доступ (например 110 для POP3),
Вобще-то, саму трансляцию тут делает последняя  строка (и она совпадает 
с вашей), а предыдущие три - разрешают соединения, инициированные только 
с внутренних компов.
У меня так работает.

modprobe ip_conntrack
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state 
ESTABLISHED,RELATED -j ACCCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCCEPT
iptables -t nat -A POSTROUTING  -s <внутренний_диапазон_адресов> -o eth1 
-j SNAT --to-source <внешний_адрес>