From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 12 Jul 2006 12:40:28 +0300 From: "Dmitriy L. Kruglikov" To: ALT Linux Sisyphus discussion list Message-ID: <20060712124028.5d658fb7@shadow.orionagro.com.ua> In-Reply-To: <44B4BC7C.7040003@tulanews.ru> References: <44B34C21.3030508@tulanews.ru> <44B34EC0.8090801@altlinux.ru> <44B48442.4070203@tulanews.ru> <20060712090258.4407624c@shadow.orionagro.com.ua> <44B4BC7C.7040003@tulanews.ru> Organization: ORION AGRO X-Mailer: Sylpheed-Claws 2.2.0cvs66 (GTK+ 2.8.18; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-Virus-Scanned: amavisd-new at orionagro.com.ua Subject: Re: [sisyphus] =?koi8-r?b?8M/Nz8fJ1MUgcGx6INMgaXB0YWJsZXM=?= X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 12 Jul 2006 09:41:06 -0000 Archived-At: List-Archive: List-Post: On Wed, 12 Jul 2006 13:10:20 +0400 Шишков Евгений Витальевич wrote: > > -A POSTROUTING -s 192.168.1.0/24 -d 12.34.56.7 -o eth0 -j > > SNAT --to-source ХХ.ХХ.ХХ.ХХ > Без этой строки тоже работет. Нужна ли она? Давай подумаем вместе ... К адресу 12.34.56.7 запросы поступают от кого? От вашего "белого" адреса... ХХ.ХХ.ХХ.ХХ ... Если вы не маскируете их SNAT --to-source ХХ.ХХ.ХХ.ХХ То они поступают от вашего внутреннего адреса 192.168.1.1, предположим... Если ответы все-таки, каким либо кандибобером, возвращаются, то у вас извращенно садистским методом где-то сказано, скорее всего, на стороне 12.34.56.7, что сеть 192.168.1.0/24 нужно искать в области ХХ.ХХ.ХХ.ХХ ... Лучше этот изврат убрать, и нормально настроить SNAT... Иначе, когда-нибудь, у вас среди травы та-а-акие грабли обнаружатся, что будет больно... Лучше сразу сделать все правильно :) Смею предположить, что на адресе 12.34.56.7 дежурит какой-нибудь корпоративный сервис, типа RDP ... Тогда лучше поднять туннель с шифрованием... И вот уже внутри этого туннеля можно пробросить сети типа 192.168.1.0/24 и ходить по внутренним адресам ... Так гораздо кузявее будет :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Если атланты поддерживают, то это еще не значит, что одобряют. -- В.Колечицкий