This wrote Gábor Lénárt on Mon Jun 27, 2011 at 14:30:38 +0200: >Re, > >On Mon, Jun 27, 2011 at 01:57:41PM +0200, Hofferek Attila wrote: >> jönnek csomagok például a 1103-as portra, ipsec tunnelen, amik nem nekem >> (a.b.c.d) szólnak, hanem e.f.g.h-nak. Mégis szeretném elkapni, és én >> kiszolgálni. >> >> Ezzel próbálkoztam eddig, kevés sikerrel: >> >> -A PREROUTING -i eth0 -p tcp -m tcp --dport 1103 -j DNAT >> --to-destination e.f.g.h >> >> -A FORWARD -p tcp -d e.f.g.h --dport 1103 -j ACCEPT > >Lehet, hogy tevedek, de imho, ha NAT-olod a sajat geped cimere, akkor az a >netfilter filter szabalyai szamara nem FORWARD irany lesz mar, hanem INPUT >(mivel te vagy a cel innentol, es nem adod "tovabb" azaz nem forward), tehat >ott kene inkabb beengedni. Mindenesetre ha loggolnad az eldobott csomagokat >a FORWARD-ban es az INPUT-ban is a "vegso" DROP/REJECT elott, akkor imho >kiderulne, ha odaig eljut. Bar ipsec ugyben lehet, hogy nem is pontosan igy >megy ez a dolog ahogy en elkepzelem?
Kell a forward, de nem az e.f.g.h fele kell dnatolni, hanem: -A PREROUTING -i eth0 -p tcp -m tcp -d e.f.g.h --dport 1103 -j DNAT --to-destination a.b.c.d:1103 Gyanithatoan ezert nem sikerul neked elkapni... IroNiQ -- System Administrator Member of Frugalware Developer Team _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
