|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Andrew Scherbacov 2:5002/74.1 24 Sep 2001 05:28:42
To : Roman Hlynovski
Subject : iptables and masquerade
--------------------------------------------------------------------------------
Привет, Roman!
Однажды Saturday September 22 2001 в 13:40, некто Roman Hlynovski писал All:
>> никак не могу сделать маскарад. стоит ядро 2.4.9, iptables-1.2.3,
>> хочется, что бы указанных машин локальной сети можно было выходить
>> в инет напрямую. соответсвенно даю команду:
>>
>> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
RH> iptables -t nat -A POSTRIUTING -s 192.168.0.1 -d 0/0 -j MASQUERADE
RH> для сети, а не отдельной машины сам напишешь
RH> (естественно подразумевается, что никакие другие 192.168.0.x кроме
RH> клиентских к этой машине не подключены, а сама она смотрит в инет)
само собой. причина была не в этом, а в том, что я по старой привычке,
как в ipchains сделал iptables -P FORWARD -j DROP, и из-за этого и не
работал маскарадинг. теперь заработало...
но проявилась несколько другая проблема:
запустил я с виндовой машины ping 195.133.159.5 -t, а сам отлаживаю
iptables, и вот, наконец пинги пошли, но недолго - просто заткнулись и все,
tcpdump -i eth0 icmp говорит, что вообще ни один пакет с icmp echo request
не приходил. подозреваю, что это сработала защита от ping of dead, которая
вроде бы встроена в iptables, поэтому вопрос:
- как эти лимиты посмотреть и исправить на нужное
- какой командой посмотреть таблицу маскарадинга, то есть, каким адресам можно
напрямую в инет ходить ?
>> кстати, еще вопрос. раньше, для ipchains был модуль ip_masq_ftp,
>> что-нить подобное для iptables есть ?
RH> iptables -t nat -A POSTROUTING -s 192.168.0.1 -p tcp --dport 21 -j
RH> MASQUERADE
RH> iptables -t nat -A POSTROUTING -s 192.168.0.1 -p tcp --dport 20 -j
RH> MASQUERADE так пойдет?
нет, непойдет. тут фишка в другом - фтп - на который я хочу пускать некоторых
своих виндовых клиентов, поддерживает _только_ пассивный режим. и поэтому
одним разрешением открывать соединения с tcp_data не обойтись. по крайней мере,
в ipchains без вышеназванного модуля было не обойтись...
RH> а у тебя вообще фовардинг включен?
RH> если нет, то echo '1' > /proc/sys/net/ipv4/ip_forward
само собой включено. :-)
С уважением
Андрей Щербаков
E-mail: avs_andrew@mail.ru ICQ: 54034993
... Hиже пейджера не бить!
--- ifmail v.2.15.lk6.b5
* Origin: Концерт окончен - скрипки в печку. (2:5002/74.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
