https://opennet.dev/openforum/vsluhforumID10/1648.html Ткните носом... Есть линукс ASP 7.3 одним интерфейсом 213.227.206.32(eth0) смотрит в инет, другим 10.5.1.8 (eth1) в локалку.<br>Внутри локалки есть вебсервер 10.5.1.5. Он через DNAT выкинут наружу с адресом 213.227.206.30. При заходе из инета на адрес вебсервера, все ОК, но я хочу большего, а именно заходить на свой же вебсервер из той самой локальной сети, в которой находится вебсервер. Читаю ман по IPTables, гуглю и яндексю уже третий день, но, видимо, где-то зациклился.<br><br>Привожу скрипт, которым делаю вышеперчисленные действия и сразу пишу, как я это понимаю, чтобы могли указать, где я неправ в своих размышлениях:<br><br>#!/bin/bash<br>#установка политики FORWARD по-умолчанию в DROP, т.е. все что не<br>#разрешено явно, то запрещено<br>/sbin/iptables -P FORWARD /<br>DROP <br>#я своей локалке доверяю, поэтому разрешаю прохождение пакетов из локалки<br>#без ограничений <br>/sbin/iptables -A FORWARD -i eth1 -o eth0 /<br>-j ACCEPT <br>#пропускаю внутрь локалки пакеты установленных https://opennet.dev/openforum/vsluhforumID10/1648.html#6 Wed, 31 Jul 2013 07:23:42 GMT &gt;&gt; По хорошей сложившейся традиции тот, кто задал вопрос и решил сам проблему, <br>&gt;&gt; выкладывает ее решение на форум, где задал вопрос. Переписывать долго, поэтому <br>&gt;&gt; даю ссылку: <br>&gt;&gt; http://www.k31.kiev.ua/board/viewtopic.php?t=825&postdays=0&postorder=asc&start=0 <br>&gt; Приветствую!<br>&gt; Решение видимо сгинуло куда-то, может быть можете его актуализировать?<br><br>Видимо так должно быть:<br>iptables -t nat -A POSTROUTING -p tcp -m tcp -s 10.5.1.0/24 -d 10.5.1.5 --dport 80 -j SNAT --to-source 10.5.1.8<br> https://opennet.dev/openforum/vsluhforumID10/1648.html#5 Wed, 31 Jul 2013 06:38:47 GMT &gt; По хорошей сложившейся традиции тот, кто задал вопрос и решил сам проблему, <br>&gt; выкладывает ее решение на форум, где задал вопрос. Переписывать долго, поэтому <br>&gt; даю ссылку: <br>&gt; http://www.k31.kiev.ua/board/viewtopic.php?t=825&postdays=0&postorder=asc&start=0 <br><br>Приветствую!<br><br>Решение видимо сгинуло куда-то, может быть можете его актуаизировать?<br><br><br> https://opennet.dev/openforum/vsluhforumID10/1648.html#4 Tue, 12 Oct 2004 08:16:51 GMT Когда компы в одной подсети, общаются они напрямую, без участия шлюзов...<br><br>Читал, думал... <br>Сорри за категоричное сообщение по поводу правила, <br>я забыл что DNS вернет не IP из локалки, а IP реальный, все действительно побежит через шлюз... https://opennet.dev/openforum/vsluhforumID10/1648.html#3 Mon, 11 Oct 2004 20:49:40 GMT По хорошей сложившейся традиции тот, кто задал вопрос и решил сам проблему, выкладывает ее решение на форум, где задал вопрос. Переписывать долго, поэтому даю ссылку:<br>http://www.k31.kiev.ua/board/viewtopic.php?t=825&postdays=0&postorder=asc&start=0 https://opennet.dev/openforum/vsluhforumID10/1648.html#2 Mon, 11 Oct 2004 13:52:40 GMT &gt;а правило твое работать небудет, т.к. адреса из одной подсети, и при <br>&gt;обращении с 10.5.1.х на 10.5.1.5 пакеты через твой шлюз НЕ ПРОХОДЯТ! <br>Можно хотя объяснить почему они не проходят через шлюз? Читаю мануал, там сказано, что проходят:<br>А теперь посмотрим, что произойдет, если запрос посылается с узла, расположенного в той же локальной сети. Для простоты изложения примем адрес клиента в локальной сети равным $LAN_BOX.<br><br>Пакет покидает $LAN_BOX.<br><br>Поступает на брандмауэр.<br><br>Производится подстановка адреса назначения, однако адрес отправителя не подменяется, т.е. исходный адрес остается в пакете без изменения.<br><br>Пакет покидает брандмауэр и отправляется на HTTP сервер.<br><br>HTTP сервер, готовясь к отправке ответа, обнаруживает, что клиент находится в локальной сети (поскольку пакет запроса содержал оригинальный IP адрес, который теперь превратился в адрес назначения) и поэтому отправляет пакет непосредственно на $LAN_BOX.<br><br>Пакет поступает на $LAN_BOX. Клиент "путается", поскольку ответ пришел не с того https://opennet.dev/openforum/vsluhforumID10/1648.html#1 Mon, 11 Oct 2004 13:45:06 GMT &gt;Ткните носом... Есть линукс ASP 7.3 одним интерфейсом 213.227.206.32(eth0) смотрит в инет, <br>&gt;другим 10.5.1.8 (eth1) в локалку. <br>&gt;Внутри локалки есть вебсервер 10.5.1.5. Он через DNAT выкинут наружу с адресом <br>&gt;213.227.206.30. При заходе из инета на адрес вебсервера, все ОК, но <br>&gt;я хочу большего, а именно заходить на свой же вебсервер из <br>&gt;той самой локальной сети, в которой находится вебсервер. Читаю ман по <br>&gt;IPTables, гуглю и яндексю уже третий день, но, видимо, где-то зациклился. <br>&gt;<br>&gt;<br>&gt;Привожу скрипт, которым делаю вышеперчисленные действия и сразу пишу, как я это <br>&gt;понимаю, чтобы могли указать, где я неправ в своих размышлениях: <br>&gt;<br>&gt;#!/bin/bash <br>&gt;#установка политики FORWARD по-умолчанию в DROP, т.е. все что не <br>&gt;#разрешено явно, то запрещено <br>&gt;/sbin/iptables -P FORWARD / <br>&gt;DROP <br>&gt;#я своей локалке доверяю, поэтому разрешаю прохождение пакетов из локалки <br>&gt;#без ограничений <br>&gt;/sbin/iptables -A FORWARD -i eth1 -o eth0 / <br>&gt;-j ACCEPT <br>&gt;#пропускаю внутрь локалки пакеты установленных <br>&gt;#соед