Dnia Tue, 05 Jul 2005 14:52:06 +0200, Krzysztof Lewandowski
<krzysiek(a)lca.pl> napisał:
> Dariusz Kowalczyk napisał(a):
>> Dnia Tue, 05 Jul 2005 13:58:43 +0200, Krzysztof Lewandowski
>> <krzysiek(a)lca.pl> napisał:
>>
>>> Tomasz Chilinski napisał(a):
>>>
>>>> On Tue, 05 Jul 2005 08:40:26 +0200, Krzysztof Lewandowski wrote
>>>>
>>>>> Przepraszam że nie w temacie, ale może ktoś mi pomoże.
>>>>> Zrobiłem na routerze przekierowanie portów dla abonentów. (Iptables
>>>>> Dnat). Wszystko działa ładnie dla polaczeń z internetem, jednak
>>>>> userzy pomiedzy sobą nie moga się komunikowac przez tak
>>>>> przekierowane porty. W czym może być problem? Zamierzeam zrobić NAT-
>>>>> e 1:1 przekierowanie publicznych adresów do środka, i pewnie to tez
>>>>> nie będzie działać.
>>>>
>>>> Masz DNAT w net/PREROUTING na zewnętrznym interfejsie? Jeśli tak to
>>>> z sieci
>>>> wewnętrznej nie trafiają tam pakiety, gdyż podejmowana jest decyzja
>>>> routingu
>>>> wskazująca, że pakiet jest adresowany do lokalnej maszyny (tej
>>>> robiącej za NAT).
>>>>
>>>>> -- Krzysztof Lewandowski - krzysiek(a)lca.pl
>>>>
>>>> --
>>>> Tomasz Chiliński
>>>>
>>> To może podpowiedź jak zrobić by na zewnetrznym ETH robic forward i
>>> aby działał on dla połączeń zewnętrznych i wewnętrznych.
>>>
>>> Oto jak mam zrobione teraz
>>>
>>> firewall
>>> .
>>> .
>>> .
>>>
>>> iptables -A INPUT -p tcp --dport 30000:30255 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 30000:30255 -j ACCEPT
>>> iptables -A INPUT -p udp --dport 30000:30255 -j ACCEPT
>>> iptables -A FORWARD -p udp --dport 30000:30255 -j ACCEPT
>>>
>>> .
>>> .
>>> .
>>> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xx.xx.xx.xx
>>>
>>>
>>>
>>> skrypt forwardów
>>>
>>> for {set IP 0} {$IP<255} {incr IP} {
>>>
>>> set PORT [expr {30000+$IP}]
>>>
>>> exec iptables -A PREROUTING -t nat -p tcp -d xx.xx.xx.xx --dport
>>> $PORT -j DNAT --to 10.1.1.$IP:$PORT
>>> exec iptables -A PREROUTING -t nat -p udp -d xx.xx.xx.xx --dport
>>> $PORT -j DNAT --to 10.1.1.$IP:$PORT
>>>
>>> }
>>>
>>>
>>>
>>>
>>> KL
>>>
>> no to nie jest pelny nat 1:1 tylko nat na okreslone porty nat 1:1
>> proponuje zrobic tak jak ponizej i sprawdzic ja tak mam dziala idealnie
>> iptables -t nat -A PREROUTING -p tcp -d publicznyip1 -j DNAT --to
>> 192.168.1.1
>> iptables -t nat -A PREROUTING -p udp -d publicznyip1 -j DNAT --to
>> 192.168.1.1
>> iptables -t nat -A PREROUTING -p tcp -d publicznyip2 -j DNAT --to
>> 192.168.1.2
>> iptables -t nat -A PREROUTING -p udp -d publicznyip2 -j DNAT --to
>> 192.168.1.2
>> ....itd
>> no i oczywiscie snat
>> /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1 -d 0/0 -j SNAT
>> --to publicznyip1
>> /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2 -d 0/0 -j SNAT
>> --to publicznyip2
>>
> No ale umnie jest identycznie.
>
> Jak mam forwardowane tylko pojedyńcze porty a nie całe adres IP, to chcę
> zrobić później, tylko dla wybrańców.
>
>
>
>
> KL
>
moze nie na temat ale..
powiem szczerze ...dla twojego dobra zrob prosty nat 1:1
klienci beda zadowoleni ty bedziesz mial z zglowy odpowiadania na glupie
telefony dlacze u was sie nie da jak u takiego a takiego operatora mogle
...teraz standart
jak masz tyle ip zeby dawac kazdemu publiczny to dawaj
