iptables, перенаправление трафика с 80 порта на другой сервер

0

0

в тутариале написано что нужно добавить три правила(цепочки?):
iptables -t nat -A PREROUTING --dst 80.241.2.50 -p tcp --dport 80 -j DNAT --to-destination 192.168.13.225:80


iptables -t nat -A POSTROUTING -p tcp --dst 192.168.13.225 --dport 80 -j SNAT --to-source 80.241.2.50



iptables -t nat -A OUTPUT  -p tcp -d 80.241.2.50 --dport 80 -j DNAT --to-destination 192.168.13.225:80

два добавились, третье не хочет

root@semgu:/# iptables -t nat -A OUTPUT  -p tcp -d 80.241.2.50 --dport 80 -j DNAT --to-destination 192.168.13.225:80
iptables: Invalid argument

Ссылка

←	OpenLDAP и несколько баз .. как правильно описать?

Управление пакетами в Fedora Core 2.

→

А третье-то зачем? Без него должно работать. Если разрешить проход - то в таблицу filter.

anonymous
(21.06.04 10:07:48 MSD)

Ссылка

На сколько я понял делается перенаправление траффика из inet-а в локальную сеть (т.е. не в пределах одной сети), поэтому из приведенных вами 3-х правил нужно только первое, а вообще это должно выглядеть так:
# Чтоб ходили туда (inet --> local_web)
iptables -t nat -A PREROUTING -d 80.241.2.50 -p tcp --dport 80 -j DNAT --to-destination 192.168.13.225:80
iptables -A FORWARD -s ! 192.168.13.225/маска_сети -d 192.168.13.225 --dport 80 -j ACCEPT
# Чтоб ходили обратно (local_web --> inet)
iptables -A FORWARD -s 192.168.13.225 --sport 80 -d ! 192.168.13.225/маска_сети -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.13.225 --sport 80 -d ! 192.168.13.225/маска_сети -j SNAT --to-source 80.241.2.50

spirit ★★★★★
(21.06.04 11:22:13 MSD)

Ответ на: комментарий от spirit 21.06.04 11:22:13 MSD

правельно понял. 1 правило нужно для перенаправления трафика с внешней сети. 2 для пренаправления трафика с внутренней сети 3 когда в качестве клиента выступает сам брандмауэр.

http://www.semgu.kz/baldden/iptables/iptables-tutorial.html#DNATTARGET

anonymous
(21.06.04 11:52:06 MSD)