LINUX.ORG.RU
ФорумAdmin

Странный глюк с netfilter


0

0 

Сталкнулся со следующей странностью..
Имеем:
Машина m1 - eth0:192.168.0.1
Машина m2 - eth0:192.168.0.2
Машина m3 - eth0:192.168.0.3
Само собой:
Все машины в одном сегменте и друг друга видят.
Никаких других правил (c -j DROP'ом ;))  на нетфильтере нет.
На m1 делаем:
iptables -t nat -A PREROUTING -p tcp --dport 9000 -j DNAT --to-destination 192.168.0.2:80


При заходе на http://m1:9000 через eth1 все ок.
При заходе с m3 - connection time out.
Что за нафик ? Где я так отстал от жизни ?

PS. kernel 2.4.27 (i386).
★★★★★
Подскажите по MOPSLinux 2.0 SERVER
iptables && ftp
Ответ на: комментарий от anonymous 

Chain FORWARD (policy ACCEPT 1937K packets, 847M bytes)
 pkts bytes target     prot opt in     out     source               destination
 983K  718M            all  --  eth1   *       0.0.0.0/0            0.0.0.0/0 


Это чисто для статистки, правило:
iptables -A FORWARD -i eth1

Полиси цепочки, понятное дело, - акцепт,
правило само собой ни на что не влияет.

LamerOk ★★★★★
() автор топика
Ответ на: комментарий от LamerOk

пропиши явно для них акцепт ;)

anonymous
()
Ответ на: комментарий от anonymous

Думаю SNAT нужен. Обратно с м2 ответ возвращается не на м1, а сразу на м3 (поскольку в одной сетке), но м3 ждет с м1, а не м2.

lvi ★★★★
()
Ответ на: комментарий от lvi

>Думаю SNAT нужен. Обратно с м2 ответ возвращается не на м1, а сразу на >м3 (поскольку в одной сетке), но м3 ждет с м1, а не м2. Не "думаю", а точно. Молодец.

anonymous
()
Ответ на: комментарий от lvi

Все оч. просто - я ступил и не догнал, что ответ будет идти сразу на m3. А изврат нафик не нужен ;)

LamerOk ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Подскажите по MOPSLinux 2.0 SERVER
Admin
iptables && ftp