Dmitriy L. Kruglikov пишет: > On Mon, 03 Jul 2006 14:47:08 +0400 > Дворников М.В. wrote: > >> Первая команда разрешает трансляцию для всех портов и >> протоколов? Наверно это не очень хорошо. > Если имеется в виду > $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE > -j SNAT --to-source $INET_IP > То это всего лишь NAT ... > Будет транслировано все, что будет разрешено последующими правилами ...
/etc/sysconfig/iptables *nat :PREROUTING ACCEPT [49:10802] :POSTROUTING ACCEPT [11:1372] :OUTPUT ACCEPT [4:215] # proxy -A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 # kazna -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT --to-source 193.X *filter :INPUT ACCEPT [427:75757] :FORWARD ACCEPT [31:4358] :OUTPUT ACCEPT [347:154782] -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Сейчас iptables использовался только для прозрачного прокси. Если так напишу, строки с FORWARD будут влиять или все и так разрешено? Давно хотел переписать все правила правильно (file.sh). На шлюзе много всяких сервисов и боюсь не осилю. -- С уважением, Дворников Михаил. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
