форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables"

Сообщение от SSargis (ok) on 13-Апр-07, 09:42

Подскажите плиз для чего эти rule-ы ??? #iptables -t nat -A PREROUTING  -s 62.89.8.90   --dst 62.89.8.154   -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18 #iptables -t nat -A POSTROUTING -s 62.89.8.90   --dst 62.89.22.18   -p tcp --dport 3128 -j SNAT --to-source      62.89.22.17 #iptables -t nat -A OUTPUT      -s 62.89.8.90   --dst 62.89.8.154   -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "iptables"

Сообщение от test (??) on 13-Апр-07, 10:01

>Подскажите плиз для чего эти rule-ы ??? > > >#iptables -t nat -A PREROUTING  -s 62.89.8.90   --dst 62.89.8.154 >  -p tcp --dport 3128 -j DNAT --to-destination 62.89.22.18 >#iptables -t nat -A POSTROUTING -s 62.89.8.90   --dst 62.89.22.18   > -p tcp --dport 3128 -j SNAT --to-source     >  62.89.22.17 >#iptables -t nat -A OUTPUT      -s 62.89.8.90 >  --dst 62.89.8.154   -p tcp --dport 3128 -j >DNAT --to-destination 62.89.22.18 это трансляция адресов т.е. Первое правило - У всех пакетов уходящих с 62.89.8.90 на IP 62.89.8.154 и порт 3128 адрес назначения будет заменятся на 62.89.22.18 Второе правило - У всех пакетов уходящих с 62.89.8.90 на 62.89.22.18 и порт 3128 адрес источника будет заменятся на 62.89.22.17 Последнее правило транслирует адрес 62.89.8.90 в пакетах, исходящих от локальных процессов брандмауэра.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables"

Сообщение от DarkAnge1 (??) on 13-Апр-07, 10:07

...постараюсь ответить как мне это кажется... итак условная схема сети юзер1 --- роутер --- юзер2 юзер1 = 62.89.8.90 юзер2 = 62.89.22.18 при таких правилах юзер 2 видит юзера 1 с айпишником 62.89.22.17, а юзер 1 общается с юзером 2 используя айпи 62.89.8.154. Итого народ общается, но реальных адресов друг друга не знает, вернее, что бы было именно так, нехватает еще двух правил... Так что хз какие цели преследовал человек писавший эти правила... :) последние правило ваще не понятно... ЗЫ Очень вероятно, что я что-то не так понял

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables"
	Сообщение от test (??) on 13-Апр-07, 10:41
	Вообщем получается так, скорей всего IP 62.89.8.90 это один из адрессов шлюза(комп где крутится iptables) закрепленный на какойнибудь сетевушки, я так думаю из за третьего правила. По первому правилу пакеты уходящие с 62.89.8.90 на адрис 62.89.8.154 и порт 3128(Наверно Squid proxy) будут уходить не на 62.89.8.154 а на 62.89.22.18. По второму правилу пакеты уходящие на 62.89.22.18(т.е. включая пакеты с первого правила) от 62.89.8.90 ни когда не вернутся потомучто обратный IP(источника) заменится на 62.89.22.17 Третье правило делает тоже самое что и первое здесь оно избыточное. Вообще что бы понять логику нужно посмотреть весь листинг правил.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "iptables"
	Сообщение от DarkAnge1 (??) on 13-Апр-07, 11:17
	..ну, ИМХО, первое и третье правило не повторяю друг друга... и мне кажется, что логика отсутствует в использовании обоих т.к. исходящие от локальных процессов пакеты никогда не пройдут через PREROUTING, а проходящие не пройдут через OUTPUT итого не понятно 62.89.8.90 это адрес сетевухи машины на которой крутится iptables или все таки где-то далеко :) а насчет не вернется... у меня подозрения, что есть NAT таблица через которую адреса изменяется обратно и пакеты таки возвращаются...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]