Iptables работает частично/странное поведение

0

1

Перенаправляю входящие соединения с порта одного сервера на порт другого правилами:

-A PREROUTING -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --dport 9756 -j DNAT --to-destination YYY.YYY.YYY.YYY:8300 -A POSTROUTING -d YYY.YYY.YYY.YYY/32 -p tcp -m tcp --dport 8300 -j SNAT --to-source XXX.XXX.XXX.XXX:9756

С отдельного сервера зайти telnet YYY.YYY.YYY.YYY 8300 получается практически всегда(раз подвисло за 50 попыток), а вот по адресу telnet XXX.XXX.XXX.XXX 9756 каждый третий раз соединится не получается.

Куда рыть? В первый раз с таким сталкиваюсь..

Ссылка

←	Подскажите как руками установить RTO tcp-сокета?

nslookup и кэш DNS

→

каков философский смысл второго правила ? того которое POSTROUTING ??

MKuznetsov ★★★★★
(06.08.12 18:04:28 MSK)

Ссылка

Рыть в сторону описания протокола tcp. Если все пакеты от разных соединений засовывать в один коннект, то будет плохо работать.

mky ★★★★★
(06.08.12 18:19:21 MSK)

Ответ на: комментарий от mky 06.08.12 18:19:21 MSK

каков философский смысл второго правила ? того которое POSTROUTING ??

PREROUTING меняет адрес назначения, а POSTROUTING отправителя, чтобы конечный сервер не додумался отвечать клиенту напрямую т.к. он не знает исходящий сокет и возвращать нужно через XXX.XXX.XXX.XXX. Разве что-то не так?

Рыть в сторону описания протокола tcp. Если все пакеты от разных соединений засовывать в один коннект, то будет плохо работать.

А почему коннект один?

geregtigheid
(06.08.12 19:04:52 MSK) автор топика

Ответ на: комментарий от geregtigheid 06.08.12 19:04:52 MSK

А почему коннект один?

Принадлежность пакета коннекту (сокету) определяется четырмя числами (dst ip/port + src ip/port). Первая пара обусловлена сервером, а вторую пару вы лишаете уникальности с помощью: "--to-source XXX.XXX.XXX.XXX:9756". Поэтому для сервера «YYY.YYY.YYY.YYY:8300» все пакеты, прошедшие ваш DNAT+SNAT предсавляются одним потоком.

mky ★★★★★
(06.08.12 20:03:25 MSK)

Ссылка

Что это за хня?

-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.33:443

это всё, что надо для routing'a.

Ну и попробуйте (x)inetd до кучи.

~~juk4windows~~ ★
(06.08.12 20:44:09 MSK)

Ответ на: комментарий от juk4windows 06.08.12 20:44:09 MSK

Спасибо. Пока решил проблему убрав ":9756"

geregtigheid
(07.08.12 12:53:58 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Подскажите как руками установить RTO tcp-сокета?

Admin

nslookup и кэш DNS

→

Похожие темы