* [Comm] Вопрос к знатокам iptables
@ 2004-07-01 7:51 Yury Levdansky
2004-07-01 8:01 ` Alexey Morsov
` (4 more replies)
0 siblings, 5 replies; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 7:51 UTC (permalink / raw)
To: community
Мне надо при обращении машины к собственному 80 порту перенапралять этот
запрос на $any_ip:80. Причем $any_ip находится в той же локальной сети.
С других машин локальной сети все работает замечательно после добавления
правил из туториала по iptables:
$IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
--to-destination $any_ip:80
$IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
--to-source $my_ip
В туториале есть такая строчка, которая по своей задумке должна решить
мою задачу:
$IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
--to-destination $any_ip
пробовал ругается на invalid argument .
Политики на все accept, никаких других правил в цепочках FORWARD,
OUTPUT, INPUT таблицы filter нет.
Подскажите как решить эту проблему
_____________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 7:51 [Comm] Вопрос к знатокам iptables Yury Levdansky
@ 2004-07-01 8:01 ` Alexey Morsov
2004-07-01 8:19 ` Yury Levdansky
2004-07-01 8:23 ` Mike Lykov
` (3 subsequent siblings)
4 siblings, 1 reply; 18+ messages in thread
From: Alexey Morsov @ 2004-07-01 8:01 UTC (permalink / raw)
To: community
Yury Levdansky wrote:
>
> Мне надо при обращении машины к собственному 80 порту перенапралять этот
> запрос на $any_ip:80. Причем $any_ip находится в той же локальной сети.
> С других машин локальной сети все работает замечательно после добавления
> правил из туториала по iptables:
> $IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
> --to-destination $any_ip:80
> $IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
> --to-source $my_ip
>
> В туториале есть такая строчка, которая по своей задумке должна решить
> мою задачу:
> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
> --to-destination $any_ip
а может не в NAT?
> пробовал ругается на invalid argument .
>
> Политики на все accept, никаких других правил в цепочках FORWARD,
> OUTPUT, INPUT таблицы filter нет.
>
> Подскажите как решить эту проблему
> _____________
> С уважением
> Левданский Юрий
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
>
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:23 ` Mike Lykov
@ 2004-07-01 8:07 ` Andriy Dobrovol's'kii
2004-07-01 8:58 ` Yury Levdansky
2004-07-01 8:52 ` Yury Levdansky
1 sibling, 1 reply; 18+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-07-01 8:07 UTC (permalink / raw)
To: community
Mike Lykov wrote:
> В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
>
>
>>В туториале есть такая строчка, которая по своей задумке должна решить
>>мою задачу:
>>$IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>>--to-destination $any_ip
>>пробовал ругается на invalid argument .
>
>
> в таблице nat нет цепочки output
>
Вы уверены?
iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
(Автору вопроса) В примере точно используется ключ "адресат" дважды
для этой цепочки?
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:01 ` Alexey Morsov
@ 2004-07-01 8:19 ` Yury Levdansky
0 siblings, 0 replies; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 8:19 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
> Yury Levdansky wrote:
>
>>
>> Мне надо при обращении машины к собственному 80 порту перенапралять
>> этот запрос на $any_ip:80. Причем $any_ip находится в той же
>> локальной сети.
>> С других машин локальной сети все работает замечательно после
>> добавления правил из туториала по iptables:
>> $IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
>> --to-destination $any_ip:80
>> $IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
>> --to-source $my_ip
>>
>> В туториале есть такая строчка, которая по своей задумке должна
>> решить мою задачу:
>> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>> --to-destination $any_ip
>
> а может не в NAT?
а где в фильтр? там же не укажешь действие DNAT
_____________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 7:51 [Comm] Вопрос к знатокам iptables Yury Levdansky
2004-07-01 8:01 ` Alexey Morsov
@ 2004-07-01 8:23 ` Mike Lykov
2004-07-01 8:07 ` Andriy Dobrovol's'kii
2004-07-01 8:52 ` Yury Levdansky
2004-07-01 9:51 ` A.Kulikovski
` (2 subsequent siblings)
4 siblings, 2 replies; 18+ messages in thread
From: Mike Lykov @ 2004-07-01 8:23 UTC (permalink / raw)
To: community
В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
> В туториале есть такая строчка, которая по своей задумке должна решить
> мою задачу:
> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
> --to-destination $any_ip
> пробовал ругается на invalid argument .
в таблице nat нет цепочки output
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:58 ` Yury Levdansky
@ 2004-07-01 8:28 ` Andriy Dobrovol's'kii
2004-07-01 9:32 ` Yury Levdansky
0 siblings, 1 reply; 18+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-07-01 8:28 UTC (permalink / raw)
To: community
Yury Levdansky wrote:
> Andriy Dobrovol's'kii пишет:
>
>> Mike Lykov wrote:
>>
>>> В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
>>>
>>>
>>>> В туториале есть такая строчка, которая по своей задумке должна решить
>>>> мою задачу:
>>>> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>>>> --to-destination $any_ip
>>>> пробовал ругается на invalid argument .
>>>
>>>
>>>
>>>
>>> в таблице nat нет цепочки output
>>>
>> Вы уверены?
>> iptables -t nat -L -v
>> Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
>> pkts bytes target prot opt in out source destination
>>
>> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
>> pkts bytes target prot opt in out source destination
>>
>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>> pkts bytes target prot opt in out source destination
>>
>> (Автору вопроса) В примере точно используется ключ "адресат" дважды
>> для этой цепочки?
>>
> Точная строка из туториала:
>
> *iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
> --to-destination $HTTP_IP*
>
> но я пробовал и без --dest $INET_IP результат тот же**
Могу высказать только одно предположение. Я встречал утверждения,
что цепочка OUTPUT в nat не рабочая. :( Сам проверить пока не смог.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:23 ` Mike Lykov
2004-07-01 8:07 ` Andriy Dobrovol's'kii
@ 2004-07-01 8:52 ` Yury Levdansky
2004-07-01 9:07 ` Mike Lykov
1 sibling, 1 reply; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 8:52 UTC (permalink / raw)
To: community
Mike Lykov пишет:
>В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
>
>
>
>>В туториале есть такая строчка, которая по своей задумке должна решить
>>мою задачу:
>>$IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>>--to-destination $any_ip
>>пробовал ругается на invalid argument .
>>
>>
>
>в таблице nat нет цепочки output
>
>
я так не думаю.
выдержка из man iptables
nat:
This table is consulted when a packet that creates
a new
connection is encountered. It consists of three
built-ins:
PREROUTING (for altering packets as soon as they
come in),
OUTPUT (for altering locally-generated packets before
rout-
ing), and POSTROUTING (for altering packets as
they are
about to go out).
___________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:07 ` Andriy Dobrovol's'kii
@ 2004-07-01 8:58 ` Yury Levdansky
2004-07-01 8:28 ` Andriy Dobrovol's'kii
0 siblings, 1 reply; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 8:58 UTC (permalink / raw)
To: community
Andriy Dobrovol's'kii пишет:
> Mike Lykov wrote:
>
>> В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
>>
>>
>>> В туториале есть такая строчка, которая по своей задумке должна решить
>>> мою задачу:
>>> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>>> --to-destination $any_ip
>>> пробовал ругается на invalid argument .
>>
>>
>>
>> в таблице nat нет цепочки output
>>
> Вы уверены?
> iptables -t nat -L -v
> Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
>
> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
>
> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
>
> (Автору вопроса) В примере точно используется ключ "адресат" дважды
> для этой цепочки?
>
Точная строка из туториала:
*iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
--to-destination $HTTP_IP*
но я пробовал и без --dest $INET_IP результат тот же**
_____________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:52 ` Yury Levdansky
@ 2004-07-01 9:07 ` Mike Lykov
0 siblings, 0 replies; 18+ messages in thread
From: Mike Lykov @ 2004-07-01 9:07 UTC (permalink / raw)
To: community
В сообщении от Четверг 01 Июль 2004 13:52 Yury Levdansky написал:
> >в таблице nat нет цепочки output
> я так не думаю.
> выдержка из man iptables
Извиняюсь, значит проблема в другом.
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 8:28 ` Andriy Dobrovol's'kii
@ 2004-07-01 9:32 ` Yury Levdansky
2004-07-01 9:36 ` Andriy Dobrovol's'kii
0 siblings, 1 reply; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 9:32 UTC (permalink / raw)
To: community
Andriy Dobrovol's'kii пишет:
> Yury Levdansky wrote:
>
>> Andriy Dobrovol's'kii пишет:
>>
>>> Mike Lykov wrote:
>>>
>>>> В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
>>>>
>>>>
>>>>> В туториале есть такая строчка, которая по своей задумке должна
>>>>> решить
>>>>> мою задачу:
>>>>> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>>>>> --to-destination $any_ip
>>>>> пробовал ругается на invalid argument .
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> в таблице nat нет цепочки output
>>>>
>>> Вы уверены?
>>> iptables -t nat -L -v
>>> Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
>>> pkts bytes target prot opt in out source destination
>>>
>>> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
>>> pkts bytes target prot opt in out source destination
>>>
>>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>>> pkts bytes target prot opt in out source destination
>>>
>>> (Автору вопроса) В примере точно используется ключ "адресат" дважды
>>> для этой цепочки?
>>>
>> Точная строка из туториала:
>>
>> *iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
>> --to-destination $HTTP_IP*
>>
>> но я пробовал и без --dest $INET_IP результат тот же**
>
> Могу высказать только одно предположение. Я встречал утверждения, что
> цепочка OUTPUT в nat не рабочая. :( Сам проверить пока не смог.
>
Проверил на другой машине, цепочка рабочая.
Отличия в ядрах 2.4.26-std-smp-alt15 на машине на каторой не работает
2.4.22-std-smp-alt15
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 9:32 ` Yury Levdansky
@ 2004-07-01 9:36 ` Andriy Dobrovol's'kii
2004-07-01 10:46 ` Yury Levdansky
0 siblings, 1 reply; 18+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-07-01 9:36 UTC (permalink / raw)
To: community
Yury Levdansky wrote:
> Andriy Dobrovol's'kii пишет:
>
>> Yury Levdansky wrote:
>>
>>> Andriy Dobrovol's'kii пишет:
>>>
>>>> Mike Lykov wrote:
>>>>
>>>>> В сообщении от Четверг 01 Июль 2004 12:51 Yury Levdansky написал:
>>>>>
>>>>>
>>>>>> В туториале есть такая строчка, которая по своей задумке должна
>>>>>> решить
>>>>>> мою задачу:
>>>>>> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>>>>>> --to-destination $any_ip
>>>>>> пробовал ругается на invalid argument .
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> в таблице nat нет цепочки output
>>>>>
>>>> Вы уверены?
>>>> iptables -t nat -L -v
>>>> Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
>>>> pkts bytes target prot opt in out source destination
>>>>
>>>> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
>>>> pkts bytes target prot opt in out source destination
>>>>
>>>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>>>> pkts bytes target prot opt in out source destination
>>>>
>>>> (Автору вопроса) В примере точно используется ключ "адресат" дважды
>>>> для этой цепочки?
>>>>
>>> Точная строка из туториала:
>>>
>>> *iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
>>> --to-destination $HTTP_IP*
>>>
>>> но я пробовал и без --dest $INET_IP результат тот же**
>>
>>
>> Могу высказать только одно предположение. Я встречал утверждения, что
>> цепочка OUTPUT в nat не рабочая. :( Сам проверить пока не смог.
>>
> Проверил на другой машине, цепочка рабочая.
> Отличия в ядрах 2.4.26-std-smp-alt15 на машине на каторой не работает
> 2.4.22-std-smp-alt15
>
>
Хм... Так ведь там где она работает ядро значительно моложе...
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 7:51 [Comm] Вопрос к знатокам iptables Yury Levdansky
2004-07-01 8:01 ` Alexey Morsov
2004-07-01 8:23 ` Mike Lykov
@ 2004-07-01 9:51 ` A.Kulikovski
2004-07-01 10:53 ` Yury Levdansky
2004-07-01 12:45 ` Polovnikov Denis
2004-07-01 14:03 ` Igor Solovyov
4 siblings, 1 reply; 18+ messages in thread
From: A.Kulikovski @ 2004-07-01 9:51 UTC (permalink / raw)
To: community
Yury Levdansky пишет:
>
> Мне надо при обращении машины к собственному 80 порту перенапралять
> этот запрос на $any_ip:80. Причем $any_ip находится в той же
> локальной сети.
Если мне склероз (или маразм?) не изменяет, то все обращения к
_собственным_ портам идут
через интерфейс lo, и адрес 127.0.0.1 . Так что для этого случая
$my_ip = 127.0.0.1 Вот только
совсем не уверен, что пакеты с/на loopback можно куда/откуда -нибудь
перенаправлять. Однако
попробовать можно, ...
# Здесь 127.0.0.1
$IPTABLES -t nat -A PREROUTING -d 127.0.0.1 -p tcp --dport 80 -j DNAT
--to-destination $any_ip:80
# А здесь $my_ip
$IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
--to-source $my_ip
> С других машин локальной сети все работает замечательно после
> добавления правил из туториала по iptables:
> $IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
> --to-destination $any_ip:80
> $IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
> --to-source $my_ip
>
> В туториале есть такая строчка, которая по своей задумке должна решить
> мою задачу:
> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
> --to-destination $any_ip
> пробовал ругается на invalid argument .
В nat нет OUTPUT (кажется?)
>
> Политики на все accept, никаких других правил в цепочках FORWARD,
> OUTPUT, INPUT таблицы filter нет.
>
> Подскажите как решить эту проблему
> _____________
> С уважением
> Левданский Юрий
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
>
--
WBR Anatoli E. Kulikouski
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 9:36 ` Andriy Dobrovol's'kii
@ 2004-07-01 10:46 ` Yury Levdansky
2004-07-01 14:43 ` Sergey Vlasov
0 siblings, 1 reply; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 10:46 UTC (permalink / raw)
To: community
Andriy Dobrovol's'kii пишет:
>>>
>>> Могу высказать только одно предположение. Я встречал утверждения,
>>> что цепочка OUTPUT в nat не рабочая. :( Сам проверить пока не смог.
>>>
>> Проверил на другой машине, цепочка рабочая.
>> Отличия в ядрах 2.4.26-std-smp-alt15 на машине на каторой не
>> работает 2.4.22-std-smp-alt15
>>
>>
> Хм... Так ведь там где она работает ядро значительно моложе...
>
внес непонятки наоборот, там где свежее все работает, на старом ядре
проблема, буду пробовать ядро апдейтить
_________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 9:51 ` A.Kulikovski
@ 2004-07-01 10:53 ` Yury Levdansky
0 siblings, 0 replies; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 10:53 UTC (permalink / raw)
To: community
A.Kulikovski пишет:
>> Мне надо при обращении машины к собственному 80 порту перенапралять
>> этот запрос на $any_ip:80. Причем $any_ip находится в той же
>> локальной сети.
>
>
> Если мне склероз (или маразм?) не изменяет, то все обращения к
> _собственным_ портам идут
> через интерфейс lo, и адрес 127.0.0.1 . Так что для этого случая
> $my_ip = 127.0.0.1 Вот только
> совсем не уверен, что пакеты с/на loopback можно куда/откуда -нибудь
> перенаправлять. Однако
> попробовать можно, ...
> # Здесь 127.0.0.1
> $IPTABLES -t nat -A PREROUTING -d 127.0.0.1 -p tcp --dport 80 -j DNAT
> --to-destination $any_ip:80
> # А здесь $my_ip
> $IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
> --to-source $my_ip
обращение к собственному 80 порту не значит обращение на loopback. На
машине поднято несколько алиасов, вопрос в том чтобы для корректной
работы завернуть обращения к одному из собственных адресов на другую машину.
>> С других машин локальной сети все работает замечательно после
>> добавления правил из туториала по iptables:
>> $IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
>> --to-destination $any_ip:80
>> $IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
>> --to-source $my_ip
>>
>> В туториале есть такая строчка, которая по своей задумке должна
>> решить мою задачу:
>> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
>> --to-destination $any_ip
>> пробовал ругается на invalid argument .
>
>
> В nat нет OUTPUT (кажется?)
есть! см. предидущие ответы
__________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 7:51 [Comm] Вопрос к знатокам iptables Yury Levdansky
` (2 preceding siblings ...)
2004-07-01 9:51 ` A.Kulikovski
@ 2004-07-01 12:45 ` Polovnikov Denis
2004-07-01 14:03 ` Igor Solovyov
4 siblings, 0 replies; 18+ messages in thread
From: Polovnikov Denis @ 2004-07-01 12:45 UTC (permalink / raw)
To: Yury Levdansky
Здравствуйте, Yury.
Вы писали 1 июля 2004 г., 11:51:40:
У меня нормально работает перенаправление с одного порта на внешнем
интерфейсе на этот же порт на машине стоящей в локалке.
Главное разрешить форвард пакетов с одного интерфейса на другой.
-A FORWARD -p tcp -m tcp -i eth1 -o eth0 --dport 4899 -j ACCEPT
в таблице nat
-A PREROUTING -p tcp -d 195.16.41.176 --dport 4819 -j DNAT --to 192.168.12.18:4819
Вот и все. В твоем случаи надо прописать форвард с внетренего
интерфейса на локальный.
YL> Мне надо при обращении машины к собственному 80 порту перенапралять этот
YL> запрос на $any_ip:80. Причем $any_ip находится в той же локальной сети.
YL> С других машин локальной сети все работает замечательно после добавления
YL> правил из туториала по iptables:
YL> $IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
YL> --to-destination $any_ip:80
YL> $IPTABLES -t nat -A POSTROUTING -d $any_ip -p tcp --dport 80 -j SNAT
YL> --to-source $my_ip
YL> В туториале есть такая строчка, которая по своей задумке должна решить
YL> мою задачу:
YL> $IPTABLES -t nat -A OUTPUT -d $my_ip -p tcp --dport 80 -j DNAT
YL> --to-destination $any_ip
YL> пробовал ругается на invalid argument .
YL> Политики на все accept, никаких других правил в цепочках FORWARD,
YL> OUTPUT, INPUT таблицы filter нет.
YL> Подскажите как решить эту проблему
YL> _____________
YL> С уважением
YL> Левданский Юрий
YL> _______________________________________________
YL> Community mailing list
YL> Community@altlinux.ru
YL> https://lists.altlinux.ru/mailman/listinfo/community
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 7:51 [Comm] Вопрос к знатокам iptables Yury Levdansky
` (3 preceding siblings ...)
2004-07-01 12:45 ` Polovnikov Denis
@ 2004-07-01 14:03 ` Igor Solovyov
4 siblings, 0 replies; 18+ messages in thread
From: Igor Solovyov @ 2004-07-01 14:03 UTC (permalink / raw)
To: community
Hi!
On Thu, 01 Jul 2004 10:51:40 +0300
Yury Levdansky <avilink@tut.by> wrote:
>
> Мне надо при обращении машины к собственному 80 порту перенапралять этот
> запрос на $any_ip:80. Причем $any_ip находится в той же локальной сети.
> С других машин локальной сети все работает замечательно после добавления
> правил из туториала по iptables:
> $IPTABLES -t nat -A PREROUTING -d $my_ip -p tcp --dport 80 -j DNAT
> --to-destination $any_ip:80
Я вот аналогично для dns редирект сбацал:
$IPT -t nat -A PREROUTING -p udp -d $MyExtIP --destination-port 53 \
-j DNAT --to-destination $MyIntIP_on_other_host:53
работает однако.
--
Best regards!
Igor Solovyov
Zlatoust, Russia
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 10:46 ` Yury Levdansky
@ 2004-07-01 14:43 ` Sergey Vlasov
2004-07-01 16:52 ` Yury Levdansky
0 siblings, 1 reply; 18+ messages in thread
From: Sergey Vlasov @ 2004-07-01 14:43 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 884 bytes --]
On Thu, Jul 01, 2004 at 01:46:18PM +0300, Yury Levdansky wrote:
> Andriy Dobrovol's'kii пишет:
>
> >>>
> >>>Могу высказать только одно предположение. Я встречал утверждения,
> >>>что цепочка OUTPUT в nat не рабочая. :( Сам проверить пока не смог.
> >>>
> >>Проверил на другой машине, цепочка рабочая.
> >>Отличия в ядрах 2.4.26-std-smp-alt15 на машине на каторой не
> >>работает 2.4.22-std-smp-alt15
> >>
> >>
> >Хм... Так ведь там где она работает ядро значительно моложе...
> >
> внес непонятки наоборот, там где свежее все работает, на старом ядре
> проблема, буду пробовать ядро апдейтить
Именно в этом и проблема - в ядрах 2.4.22-std не была включена опция
конфигурации CONFIG_IP_NF_NAT_LOCAL, поэтому NAT для локальных соединений
не работал.
Конфигурацию, с которой собрано ядро, можно посмотреть в файле
/boot/config-*, либо даже в /proc/config.gz при загруженном ядре.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Вопрос к знатокам iptables
2004-07-01 14:43 ` Sergey Vlasov
@ 2004-07-01 16:52 ` Yury Levdansky
0 siblings, 0 replies; 18+ messages in thread
From: Yury Levdansky @ 2004-07-01 16:52 UTC (permalink / raw)
To: community
Sergey Vlasov пишет:
>>внес непонятки наоборот, там где свежее все работает, на старом ядре
>>проблема, буду пробовать ядро апдейтить
>>
>>
>
>Именно в этом и проблема - в ядрах 2.4.22-std не была включена опция
>конфигурации CONFIG_IP_NF_NAT_LOCAL, поэтому NAT для локальных соединений
>не работал.
>
>Конфигурацию, с которой собрано ядро, можно посмотреть в файле
>/boot/config-*, либо даже в /proc/config.gz при загруженном ядре.
>
>
Спасибо за ответ
__________
С уважением
Левданский Юрий
^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2004-07-01 16:52 UTC | newest]
Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-07-01 7:51 [Comm] Вопрос к знатокам iptables Yury Levdansky
2004-07-01 8:01 ` Alexey Morsov
2004-07-01 8:19 ` Yury Levdansky
2004-07-01 8:23 ` Mike Lykov
2004-07-01 8:07 ` Andriy Dobrovol's'kii
2004-07-01 8:58 ` Yury Levdansky
2004-07-01 8:28 ` Andriy Dobrovol's'kii
2004-07-01 9:32 ` Yury Levdansky
2004-07-01 9:36 ` Andriy Dobrovol's'kii
2004-07-01 10:46 ` Yury Levdansky
2004-07-01 14:43 ` Sergey Vlasov
2004-07-01 16:52 ` Yury Levdansky
2004-07-01 8:52 ` Yury Levdansky
2004-07-01 9:07 ` Mike Lykov
2004-07-01 9:51 ` A.Kulikovski
2004-07-01 10:53 ` Yury Levdansky
2004-07-01 12:45 ` Polovnikov Denis
2004-07-01 14:03 ` Igor Solovyov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git