|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Vyacheslav Osokin 2:5020/400 05 Oct 2004 13:36:36
To : All
Subject : iptables + NAT
--------------------------------------------------------------------------------
Добрый день!
Давно знаю об одном глюке iptables при использовании SNAT в таблице nat, но
ранее удавалось разными путями обходить его стороной. А вот теперь обойти
не могу, надо решить именно так проблему, иначе ее решит вообще не реально
получается с помощью iptables. Суть проблемы такая: при динамическом
изменении в таблице nat цепочки POSTROUTING на таргет SNAT на 2-3 шаге
правила SNAT перестают работать с установивишимися ранее сессиями.
Hапример. Пингую я с одной машины некий адрес внешний. Согласно правилам
SNAT выполняется натинг под какой-нибудь IP, пусть это будет 192.168.0.1.
Пакеты ICMP идут как положено. В какой-то момент времени мне надо поменять
правила натинга. Даю команду "iptables -F -t nat" и затем создаю новое
правило натинга пусть на SRC 192.168.1.1. Как праивло тут срабатывает
нормально. ICMP уже натятся под другим IP. Потом появилась необходимость
поменять натинг обратно на SRC 192.168.0.1, предварительно опять же
"iptables -F -t nat". И вот тут, как правило,возникает такая ситуация, что
пакеты ICMP вообще перестают натиться и проходят сквозь цепочку POSTROUTING
нетронутыми. В тоже время, если я запущу какою-нибудь другую новую сессию,
предположим http, то эти пакеты уже попадают в цепочку POSTROUTING и
натятся нормально, счетчик SNAT начинает крутиться, но пакеты же ICMP, как
шли так и продолжают идти без натинга :( .
Вобщем этот глюк/фичу я не знаю пока как решить или обойти :( Если кто решал
что либо подобное - откликнитесь, плиз...
--
Best regards
Vyacheslav Osokin
Parma Inform Ltd
--- ifmail v.2.15dev5.3
* Origin: Parma Inform Ltd (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
