Привет. Идиотическая ситуация, скажу сразу.
По нужде пришлось сделать новый рутер вместо старого. Три интерфейса - локалка, ДМЗ, инет. Правила содрал со старого.
Со следующими правилами из инета в ДМЗ и обратно - всё ок, из локалки в ДМЗ и обратно - ок, из локалки в инет - НЕ ЛЕЗЕТ!!!
$IPTABLES -I FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -o $INET_IFACE -j SNAT --to-source aaa.bbb.ccc.ddd
$IPTABLES -I FORWARD -i $LAN_IFACE -o $DMZ_IFACE -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -o $DMZ_IFACE -j SNAT --to-source aaa.bbb.ccc.ddd
Уперся, завтра клиенты порвут, памагити.....
Спасибо,
я.
попробуй вместо интерфейса указать адреса то есть к примеру
пусть
клиентская сеть 10.0.0.0/8, интерфейс на серве 10.0.0.1
dmz сеть 192.168.1.0/24, интерфейс на серве 192.168.1.1
инет это все что идет не в dmz, интрефес на серве aaa.bbb.ccc.ddd
Уф. Пардон, что не отпостился в тот же день: вырубился спать :)
Правильный ответ: SNAT тут на месте, поелику в ДМЗ реальные адреса. Локалки натятся и в инет, и в ДМЗ.
С правилами всё было ок. Проблема была в ARP-кэше вышестоящего провайдера: по какой-то причине mac-адреса моих виртуальных интерфейсов (a-la vlan200:6) упорно не хотели в нем обновляться! В то время как хосты в ДМЗ их видели вполне корректно. Соответственно, пакеты из инета просто не ходили на nat-адреса локалок (у меня каждая натится за своим реальным айпи).