Marek Guevara Braun wrote: > Piotr Pawełek wrote: >> Sytuacja wygląda tak: >> >> 10.1.1.x/24 --| >> 10.1.1.50 --| >> - 10.1.1.1 eth0 - (router) >> | >> ppp0 (Dyn.IP) - internet >> xxx.no-ip.org > > Zwróć uwagę, że jeśli będziesz przekierowywał ruch z LANu skierowany na > xxx.no-ip.org:80 na 10.1.1.50 (reguła DNAT) to maszyna ta dostanie > pakiet z adresem źródłowym w tym samym segmencie sieciowym - czyli ruch > powrotny nie pójdzie via router tylko bezpośrednio. Czyli wymieniona > niżej reguła SNAT nie będzie miała okazji zadziałać, a komputer z sieci > LAN dostanie pakiet powrotny z adresu 10.1.1.50.
Właśnie doczytałem że chcesz maskować ruch z LAN do WWW czyli zastosowanie ma: > jeśli natomiast ta reguła miała maskować ruch z LAN w kierunku serwera > WWW to po pierwsze możesz olać -d, a po drugie nie specyfikować portu > (bo wtedy cały ruch z LANu będzie widziany przez serwer WWW jako > pochodzący z portu 80 routera). Żeby zabezpieczyć się przed spryciarzami, którzy ustawią sobie routing do innych maszyn z LAN via router, dodaj filtrowanie ruchu LAN <-> WWW w łańcuchu FORWARD. _______________________________________________ pld-users-pl mailing list pld-users-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-users-pl