From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <alt@vladregion.ru>
X-Authentication-Warning: vladregion.ru: vaa set sender to alt@vladregion.ru
	using -f
Date: Sun, 24 Dec 2006 14:14:05 +0300
From: Alexander Volkov <alt@vladregion.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Message-ID: <20061224111405.GA22283@vladregion.ru>
Mail-Followup-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <012c01c72412$55143f30$0200a8c0@mics.local>
	<45898ABC.3070107@rambler.ru>
	<008e01c724dc$3ede9c90$0200a8c0@mics.local>
	<20061222172945.GL12587@osdn.org.ua> <458D7623.4070504@rambler.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <458D7623.4070504@rambler.ru>
User-Agent: Mutt/1.4.2.1i
Subject: Re: [Sysadmins] DNAT???
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 24 Dec 2006 11:14:11 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20061224111405.GA22283@vladregion.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On 2006-12-23 20:32:03 +0200, Olvin wrote:
O> Michael Shigorin пишет:
O> >>>Если машина - шлюз, то ничего такого не надоразве что
O> >>>запретить форвард всего кроме -p tcp --dport 80 -d
O> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
O> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
O> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
O> >>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
O> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
O> >>192.168.0.0./24
O> > Вообще для работы DNAT нужен симметричный SNAT -- часом не
O> > упустили?  Бывало ещё забавно, когда понимание маршрутов у
O> > машинов из таких подсетей отличалось, в смысле ответ шёл
O> > мимо NAT.

O> NAT действует только при разрешённом forward, исключение - redirect, но
O> это на другой порт той машины, что шлюзом служит.

O> Вам нужно некое приложение, которое бы слушало на 80-м порту и само
O> делало запросы на 80-й порт, но на другую машину. Причём запросы один к
O> одному, эдакий user-space forward (не redirect). Если бы обращения шли
O> только по имени машины, а не по IP-адресу, то такое можно было бы
O> реализовать хитрой настройкой DNS-сервера bind (hint: views) и
O> прокси-сервера squid.
тут ришло в голову - повесить на это дело nginx и проксировать на нужный
хост?
--
 Regards, Alexander