unixforum.org

Помогите, пожалуйста, с небольшой задачей справится


iptables -t nat -A PREROUTING --dst *** -p tcp --dport 110 -j DNAT --to-destination -o eth1

Задача: перенаправление всего POP3 трафика на другой интерфейс
Проблема: что указать в ip получателя (там где *** стоят). Я какой только адрес или диапазон не писал - не проходит. Как я понимаю, там надо указать диапазон всех ip, чтобы любой POP3 перенаправлялся. Или я чего-то напутал, первый раз все таки с iptables столкнулся

P@nzer писал(а): ↑

28.09.2007 11:22

Помогите, пожалуйста, с небольшой задачей справится


iptables -t nat -A PREROUTING --dst *** -p tcp --dport 110 -j DNAT --to-destination -o eth1

Задача: перенаправление всего POP3 трафика на другой интерфейс
Проблема: что указать в ip получателя (там где *** стоят). Я какой только адрес или диапазон не писал - не проходит. Как я понимаю, там надо указать диапазон всех ip, чтобы любой POP3 перенаправлялся. Или я чего-то напутал, первый раз все таки с iptables столкнулся

ну если тебе нужно направить трафик на другой интерфейс то ты должен использовать таблицу filter цепочку forward а не nat prerouting.
А DNAT служит для преобразования адреса места назначения в IP заголовке пакета.

Спасибо за быстрый ответ )

Вот такая команда будет правильной?
iptables -t filter -A FORWARD -p tcp --dport 110 -j ACCEPT -o eth1

читем доки и понимаем что перенаправлять весь трафик в цепочке FORWARD не получится она просто не умеет этого делать. -nat PREROUTING как раз для этого и предназначена, потому как не изменив адрес назначения у нас ни один пакет предназнгаченный для этой машины не попадет в цепочку FORWARD,
Читаем опять доку и смотрим что DNAT не держит перенаправление на интерфейс а только на ip. теперь если у тебя 2 интерфейса один 192,168,1,1 а другой 172,16,1,1 и тебе надо с первого на второй заворачивать
пишем
IPTABLES -t nat -A PREROUTING -d 192.168.1.1 --dport 110 -p tcp -j DNAT --to-destination 172.16.1.1
IPTABLES -A FORWARD -i $ETH_192.168.1.1 -o $ETH_172.16.1.1 -d 172.16.1.1 -p tcp --dport 110 -j ACCEPT
IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

дальше сам поковыряй там все просто и понятно.

ну как разобрался?

А какой смысл перенаправлять в данном случае на другой интерфейс, особенно если их вообще два ?

McLeod095 писал(а): ↑

01.10.2007 11:57

теперь если у тебя 2 интерфейса один 192,168,1,1 а другой 172,16,1,1 и тебе надо с первого на второй заворачивать

только ногами не пинайте - а как узнать ip интерфейса

ifconfig

McLeod095 писал(а): ↑

01.10.2007 11:57

IPTABLES -t nat -A PREROUTING -d 192.168.1.1 --dport 110 -p tcp -j DNAT --to-destination 172.16.1.1

Если я пишу вот так:
iptables -t nat -A PREROUTING -d ip_eth0 --dport 110 -p tcp -j DNAT --to-destination ip_eth1
ругается на --dport

А если так:
iptables -t nat -A PREROUTING -d ip_eth0 -dport 110 -p tcp -j DNAT --to-destination ip_eth1
то ругается multiple -d flags not allowed

Не понима-а-а-ю...

Со всем разобрался, кроме этой ошибки с --dport, подскажите почему не проходит команда
iptables -t nat -A PREROUTING -d ip_eth0 --dport 110 -p tcp -j DNAT -to-destination ip_eth1

iptables говорит что не не знает аргумента --dport (iptables v1.2.11: Unknown arg `--dport')

P@nzer,
читайте ман, про действие и использование DNAT
iptables -t nat -A PREROUTING -p tcp -d ip_eth0 --dport 80 -j DNAT --to-destination ip_eth1

P@nzer писал(а): ↑

11.10.2007 09:48

Со всем разобрался, кроме этой ошибки с --dport, подскажите почему не проходит команда
iptables -t nat -A PREROUTING -d ip_eth0 --dport 110 -p tcp -j DNAT -to-destination ip_eth1

iptables говорит что не не знает аргумента --dport (iptables v1.2.11: Unknown arg `--dport')

(Не вникая в суть проблемы) по поводу "не знает аргумента", я думаю - надо сначала указывать протокол (-p tcp) а потом --dport 110
возможно и ошибаюсь...

P@nzer писал(а): ↑

11.10.2007 09:48

Со всем разобрался, кроме этой ошибки с --dport, подскажите почему не проходит команда
iptables -t nat -A PREROUTING -d ip_eth0 --dport 110 -p tcp -j DNAT -to-destination ip_eth1

iptables говорит что не не знает аргумента --dport (iptables v1.2.11: Unknown arg `--dport')

а разве не надо объявлять переменные ip_eth0 и ip_eth0, которые используются в данном случае?
то есть, в начале скрипта
ip_eth0=1.2.3.4
ip_eth1=192.168.1.1
и в тексте скрипта использовать уже объявленные переменные
iptables -t nat -A PREROUTING -d $ip_eth0 --dport 110 -p tcp -j DNAT -to-destination $ip_eth1

vtur писал(а): ↑

13.11.2007 23:32

P@nzer писал(а): ↑

11.10.2007 09:48

Со всем разобрался, кроме этой ошибки с --dport, подскажите почему не проходит команда
iptables -t nat -A PREROUTING -d ip_eth0 --dport 110 -p tcp -j DNAT -to-destination ip_eth1

iptables говорит что не не знает аргумента --dport (iptables v1.2.11: Unknown arg `--dport')

а разве не надо объявлять переменные ip_eth0 и ip_eth0, которые используются в данном случае?
то есть, в начале скрипта
ip_eth0=1.2.3.4
ip_eth1=192.168.1.1
и в тексте скрипта использовать уже объявленные переменные
iptables -t nat -A PREROUTING -d $ip_eth0 --dport 110 -p tcp -j DNAT -to-destination $ip_eth1

Я так для наглядности написал. Вообще-то я в настоящей команде не ip_eth0 писал, а ip сетевухи
А вообще, с предыдущей ошибкой я разобрался.