28 Март 2003 03:47, Andrei Sosnin написал: > Здравствуйте! > > Требуется сделать доступным извне сервер (Shoutcast) во внутренней > сети. Порты - 6666 и 6667. Пробовал такую конфигурацию iptables (IP > изменены): > > # Это обеспечивает "маскарадинг" > $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to $EXTIP > > # Это должно обеспечивать прозрачный доступ, но не обеспечивает... > $IPTABLES -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 6666 \ > -j DNAT --to-destination 192.168.15.2 > $IPTABLES -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 6667 \ > -j DNAT --to-destination 192.168.15.2 >
а как в цепочке FORWARD ? надо еще в ней прописать что то вроде iptables -A FORWARD -p tcp -m tcp -d 192.168.15.2 --dport 6666:6667 -j ACCEPT разрешаем трафику всетаки доходить до 192.168.x.x iptables -A FORWARD -p tcp -m tcp -s 192.168.15.2 -i $INT_IP --sport 6666:6667 -j ACCEPT и выходить с него по моему как то так > Но она почему-то не работает... Похожее у меня для Gnutella настроено, > и она говорит, что-де "я за файрволлом" (порт официальный GNutella - > 6436)... Так что же неправильно? > > Логи оставляют вот это: > > Mar 27 23:36:03 alpha kernel: IN=eth1 OUT=eth1 SRC=192.168.15.2 > DST=192.168.15.2 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=7028 DF PROTO=TCP > SPT=41469 DPT=80 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 > > Должен ли я еще что-либо добавлять/изменять? -- Юркин Евгений