Странный глюк с netfilter

0

0

Сталкнулся со следующей странностью..
Имеем:
Машина m1 - eth0:192.168.0.1
Машина m2 - eth0:192.168.0.2
Машина m3 - eth0:192.168.0.3
Само собой:
Все машины в одном сегменте и друг друга видят.
Никаких других правил (c -j DROP'ом ;))  на нетфильтере нет.
На m1 делаем:
iptables -t nat -A PREROUTING -p tcp --dport 9000 -j DNAT --to-destination 192.168.0.2:80


При заходе на http://m1:9000 через eth1 все ок.
При заходе с m3 - connection time out.
Что за нафик ? Где я так отстал от жизни ?

PS. kernel 2.4.27 (i386).

Ссылка

← Подскажите по MOPSLinux 2.0 SERVER

iptables && ftp →

покаж содержимое цепочки FORWARD

anonymous
(14.05.05 14:39:37 MSK)

Ответ на: комментарий от anonymous 14.05.05 14:39:37 MSK

Chain FORWARD (policy ACCEPT 1937K packets, 847M bytes)
 pkts bytes target     prot opt in     out     source               destination
 983K  718M            all  --  eth1   *       0.0.0.0/0            0.0.0.0/0 


Это чисто для статистки, правило:
iptables -A FORWARD -i eth1

Полиси цепочки, понятное дело, - акцепт,
правило само собой ни на что не влияет.

LamerOk ★★★★★
(14.05.05 14:56:41 MSK) автор топика

Ответ на: комментарий от LamerOk 14.05.05 14:56:41 MSK

пропиши явно для них акцепт ;)

anonymous
(14.05.05 15:19:25 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.05.05 14:39:37 MSK

Думаю SNAT нужен. Обратно с м2 ответ возвращается не на м1, а сразу на м3 (поскольку в одной сетке), но м3 ждет с м1, а не м2.

lvi ★★★★
(14.05.05 15:23:31 MSK)

Ответ на: комментарий от lvi 14.05.05 15:23:31 MSK

хм... а нафик такой изврат?

anonymous
(14.05.05 15:28:21 MSK)

Ссылка

Ответ на: комментарий от lvi 14.05.05 15:23:31 MSK

>Думаю SNAT нужен. Обратно с м2 ответ возвращается не на м1, а сразу на >м3 (поскольку в одной сетке), но м3 ждет с м1, а не м2. Не "думаю", а точно. Молодец.

anonymous
(14.05.05 15:50:41 MSK)