Artem Chuprina wrote:
Nicholas -> debian-russian@lists.debian.org @ Thu, 02 Oct 2008 16:33:43 -0400:
N> Есть "pc1" в локальной сети с адресом eth0 192.168.1.3
N> он соединяется с удаленным сервером "server" openvpn (с диапазоном реальных
N> адресов xx.xx.2.0/24) и получает адрес tap 192.168.1.3
N> "server" имеет настройку iptables:
N> -A PREROUTING -d xx.xx.2.1 -j ACCEPT
N> -A PREROUTING -d xx.xx.2.0/24 -j NETMAP --to 192.168.2.0/24
N> -A POSTROUTING -s 192.168.2.0/24 -j NETMAP --to xx.xx.2.0/24
N> таким образом "pc1" 192.168.1.3 "получает" внещний ip xx.xx.2.3 (и это
N> работает):
N> его ifconfig
N> eth0 inet addr:192.168.1.3
N> tap5 inet addr:192.168.2.3
N> в той же локальной сети есть "pc2" с адресом eth0 192.168.1.4
N> и www сервисом на порту 8081, до которого надо достучатся "из вне".
N> Для этого на pc1 создаются правила:
N> -A PREROUTING --dst 192.168.2.3 -p tcp --dport 8081 -j DNAT --to-destination
N> 192.168.1.4
N> -A POSTROUTING --src 192.168.1.4 -p tcp --sport 8081 -j SNAT --to-source
N> 192.168.2.3:8081
N> Но они не работают - по адресу xx.xx.2.3:8081 страница не открывается.
N> Вопрос: как правильно настроить iptables на ps1, что бы получить доступ к
N> ps2:8081 "из вне" ?
Еще надо на pc1 включить форвардинг и разрешить его в iptables (уже
таблица filter, а не nat), если запрещен.
На pc1 разрешено все:
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [390:61807]
и формардинг тоже:
cat /proc/sys/net/ipv4/ip_forward
1
--
Sincerely,
Nicholas
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
