очередной вопрос по iptables

[Tokra]

Всем доброго времени суток. Сразу к делу.

Есть две удаленные сетки. Между ними поднят ВПН. Серваки под слакварем 10.1. ВПН поднимал через iproute2.

Сеть1 имеет адрес 192.168.52.0/24, а Сеть2 192.168.54.0/24.

На маршрутизаторе Сети1 подключено 2 канала связи. По первому мы берем нет, а по второму поднят ВПН.
В rc.firewall добавил такое правило:

iptables -t nat -A POSTROUTING -s 192.168.52.0/24 -d! 192.168.54.0/24 -j SNAT --to-source ${IP}-интерфейса, на котором сидит канал, по которому мы берем нет.

Смысл в том, что если надо отсылать пакеты по ВПН, то маскарадинг не должен осуществляться. (-d! 192.168.54.0/24). Но маскарадинг все равно осуществляется!!

[7biohazard7]

По доке пробел должен быть, да и вообще правило уменьшить
можно, что-то типа:

iptables -t nat -A POSTROUTING -d ! 192.168.54.0/24 -j SNAT --to-source ${IP}

Опять же можно попытаться развести это по портам.

[Tokra]

Я тоже об этом подумал. Я точно не уверен, что именно это правило не работает, но выходит так, что когда пингуешь с той стороны, все ок. А когда со стороны Сети1, пинг не проходит. Пишет, хост не доступен. Вот и подозреваю, что в этом виноват маскарадинг.

[well]

Всем привет, а у меня возникла следующая проблема:
есть роутер, дающий нет локалке через проксю. Какое правило надо добавить, чтобы обратившись к порту роутера PORT из вне, я попадал на PORT локальной машины с IP? Заранее спасибо.

[Tokra]

Попробуй что-то типа

iptables -t nat -A PREROUTING -p tcp --dport PORT -j DNAT --to-destination IP-той машины

[vitamin]

Народ у меня вопрос

На ASP
iptables -t nat -A PREROUTING -p tcp --dport PORT -j DNAT --to-destination IP-той машины
работает все нормально (делал давно и никаких проблем не возникло)
начал настраивать Slack Ware делаю тоже самое - ну не в какую.
в логах пишет IPT INPUT PACKET DIED
кто может подсказать в чем дело

[Tokra]

в логах пишет IPT INPUT PACKET DIED.
Посмотри свои правила, которые относятся к цепочке INPUT. Может там какая-то ошибка.

[vitamin]

Все заработало.
Всем совет: не используйте чужие файлы с правилами Iptables
просто взял свои и переделал все ок.

[well]

Всем привет, у меня еще одна проблемка возникла, машина делает форвардинг на VPN-сервер. Но машина форвардит только того, кто успел первым . Перезагрузка фаервола не помогает, нодо выгрузить и загрузить по-новой модули, может кто подскажет в чем может быть проблема?

[Sleeping Daemon]

Я тоже об этом подумал. Я точно не уверен, что именно это правило не работает, но выходит так, что когда пингуешь с той стороны, все ок. А когда со стороны Сети1, пинг не проходит. Пишет, хост не доступен. Вот и подозреваю, что в этом виноват маскарадинг.

Или отсутствие рутинга между подсетками.
В судию:
ip route list

[Tokra]

Я тоже об этом подумал. Я точно не уверен, что именно это правило не работает, но выходит так, что когда пингуешь с той стороны, все ок. А когда со стороны Сети1, пинг не проходит. Пишет, хост не доступен. Вот и подозреваю, что в этом виноват маскарадинг.

Или отсутствие рутинга между подсетками.
В судию:
ip route list

Спасиб! С роутингом все ок! Проблему уже месяца 3 как решена

[well]

Всем привет, у меня еще одна проблемка возникла, машина делает форвардинг на VPN-сервер. Но машина форвардит только того, кто успел первым . Перезагрузка фаервола не помогает, нодо выгрузить и загрузить по-новой модули, может кто подскажет в чем может быть проблема?

Умные люди сказали, что необходимо пропатчить ядро, кто-нибудь сталкивался с такой проблемой? Не подскажите патч?