LINUX.ORG.RU
ФорумAdmin

Iptables --HELP


0

0

Подскажите, в чем ошибка?

iptables -t nat -A OUTPUT -p tcp -d 192.168.0.1 --dport 3128 -j DNAT --to-destination 172.19.0.1
iptables: Invalid argument

Если вместо цепочки OUTPUT ставить PREROUTING то все нормально.

anonymous

Re: Iptables --HELP

Ты бы почитал, что такое PREROUTING.

anonymous ()

Re: Iptables --HELP

ты пытаешься перенаправить пакеты на прокси, идущие с того же хоста на котором пишешь правило ?
похоже что так, потому что цепочка OUTPUT работает с пакетами, которые идут от ЛОКАЛЬНЫХ приложений, но никак не от других хостов, поэтому с PREROUTING все получается...

x97Rang ★★★ ()
Ответ на: Re: Iptables --HELP от x97Rang

Re: Re: Iptables --HELP

>ты пытаешься перенаправить пакеты на прокси, идущие с того же хоста >на котором пишешь правило ? >похоже что так, потому что цепочка OUTPUT работает с пакетами, >которые идут от ЛОКАЛЬНЫХ приложений, но никак не от других хостов, >поэтому с PREROUTING все получается...

Да, именно от локальных процессов мне и нужно завернуть трафик при определенных обстоятельствах. Почему же выдает ошибку?

anonymous ()
Ответ на: Re: Re: Iptables --HELP от anonymous

Re: Re: Re: Iptables --HELP

Не придирайтесь, команда написана ПРАВИЛЬНО ! У меня она замечательно выполнилась, без каких-либо ошибок.
А ошибка... не может ли она быть связана с какими-либо опциями компиляции ядра, версией iptables ?

spirit ★★★★★ ()

Re: Iptables --HELP

http://www.opennet.ru/docs/RUS/iptables/index.html

все про iptables разжевано - дальше некуда.
скорее всего модуля маскарадного нету

попробуй без "-j DNAT --to-destination 172.19.0.1 "

anonymous ()
Ответ на: Re: Iptables --HELP от anonymous

Re: Re: Iptables --HELP

Без "-j DNAT --to-destination 172.19.0.1 " все выполнилось.

Какой модуль должен быть загружен?

Версия 2.4.23, ASP9.

Кстати на другой машине с такой же версией ядра тоже не работает.

Iptables 1.2.8

anonymous ()
Ответ на: Re: Re: Iptables --HELP от anonymous

Re: Re: Re: Iptables --HELP

Вот список модулей, с машины на которой это точно работает:
половину можно откинуть судя по названию (например ipt_ULOG.o), про остальные надо читать.
сравни со своими, почитай про те которых не хватает...

arptable_filter.o ip_nat_tftp.o ipt_esp.o ipt_recent.o
arp_tables.o iptable_filter.o ipt_helper.o ipt_REDIRECT.o
arpt_mangle.o iptable_mangle.o ipt_length.o ipt_REJECT.o
ip_conntrack_amanda.o iptable_nat.o ipt_limit.o ipt_state.o
ip_conntrack_ftp.o ip_tables.o ipt_LOG.o ipt_tcpmss.o
ip_conntrack_irc.o ipt_ah.o ipt_mac.o ipt_TCPMSS.o
ip_conntrack.o ipt_conntrack.o ipt_mark.o ipt_tos.o
ip_conntrack_tftp.o ipt_dscp.o ipt_MARK.o ipt_TOS.o
ip_nat_amanda.o ipt_DSCP.o ipt_MASQUERADE.o ipt_ttl.o
ip_nat_ftp.o ipt_ecn.o ipt_multiport.o ipt_ULOG.o
ip_nat_irc.o ipt_ECN.o ipt_pkttype.o

anonymous ()
Ответ на: Re: Re: Re: Iptables --HELP от anonymous

Re: Re: Re: Re: Iptables --HELP

еще посмотри в ядре на предмет опции
CONFIG_IP_NF_NAT_LOCAL (NAT of local connections)

ну и вообще покопайся в ядре - найдешь!

anonymous ()
Ответ на: Re: Re: Re: Re: Iptables --HELP от anonymous

Re: Re: Re: Re: Re: Iptables --HELP

Точно, эта опция каким то образом стояла на модуле, но у нее нет этой возможности, либо "Y" либо "N"

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.