From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Authentication-Warning: vladregion.ru: vaa set sender to alt@vladregion.ru using -f Date: Sun, 24 Dec 2006 14:14:05 +0300 From: Alexander Volkov To: ALT Linux sysadmin discuss Message-ID: <20061224111405.GA22283@vladregion.ru> Mail-Followup-To: ALT Linux sysadmin discuss References: <012c01c72412$55143f30$0200a8c0@mics.local> <45898ABC.3070107@rambler.ru> <008e01c724dc$3ede9c90$0200a8c0@mics.local> <20061222172945.GL12587@osdn.org.ua> <458D7623.4070504@rambler.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <458D7623.4070504@rambler.ru> User-Agent: Mutt/1.4.2.1i Subject: Re: [Sysadmins] DNAT??? X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 24 Dec 2006 11:14:11 -0000 Archived-At: List-Archive: On 2006-12-23 20:32:03 +0200, Olvin wrote: O> Michael Shigorin пишет: O> >>>Если машина - шлюз, то ничего такого не надоразве что O> >>>запретить форвард всего кроме -p tcp --dport 80 -d O> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то O> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK. O> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни O> >>в другой сети. надо из одной сети (192.168.1.0./24) выкинуть O> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть O> >>192.168.0.0./24 O> > Вообще для работы DNAT нужен симметричный SNAT -- часом не O> > упустили? Бывало ещё забавно, когда понимание маршрутов у O> > машинов из таких подсетей отличалось, в смысле ответ шёл O> > мимо NAT. O> NAT действует только при разрешённом forward, исключение - redirect, но O> это на другой порт той машины, что шлюзом служит. O> Вам нужно некое приложение, которое бы слушало на 80-м порту и само O> делало запросы на 80-й порт, но на другую машину. Причём запросы один к O> одному, эдакий user-space forward (не redirect). Если бы обращения шли O> только по имени машины, а не по IP-адресу, то такое можно было бы O> реализовать хитрой настройкой DNS-сервера bind (hint: views) и O> прокси-сервера squid. тут ришло в голову - повесить на это дело nginx и проксировать на нужный хост? -- Regards, Alexander