[Dm1try]

Зачем это нужно, можно узнать?

[zelo]

....долго сказывать, но оч нужно, поверьте на слово

[Dm1try]

Тогда ответ - никак.
SNAT - по хорошему, делается только в цепочке OUTPUT.

[alive_corpse]

У меня как раз проблема подобного рода, но порт надо прокидывать из одной подсети (192.168.1.0/24) в другую (192.168.0.0/24).

Почитал вот это: http://www.opennet.ru/base/net/dnat_linux.txt.html
И решил написать простенький скриптик для удобства:

Код:

#!/bin/sh

#IP внутренней сети, передаётся первым параметром
INT_IP=$1

#IP внешней сети
EXT_IP="192.168.0.1"

INT_PORT=$2
EXT_PORT=$3

#интерфейс, который смотрит во внутреннюю подсеть
INT_IF="br0"

#Это может пригодиться потом 
#EXT_IF="vlan1"

iptables -t nat -A  PREROUTING -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
iptables -A FORWARD -i $INT_IF -d $INT_IP -p tcp --dport $INT_PORT -j ACCEPT

Теперь по идее, запустив этот скрипт с параметрами, скажем
./portout 192.168.1.4 80 80
мы должны обращаясь на 192.168.0.1:80 получить доступ на 80-й порт машины 192.168.1.4, но этого почему-то не происходит.

Код:

[admin@router scripts]$ iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[admin@router scripts]$ iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
VSERVER    all  --  anywhere             192.168.0.1

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain VSERVER (1 references)
target     prot opt source               destination

[admin@router scripts]$ cat /etc/hosts | grep book
192.168.1.4 book

[admin@router scripts]$ ./portout.sh 192.168.1.4 80 80

[admin@router scripts]$ iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             book               tcp dpt:www

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[admin@router scripts]$ iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
VSERVER    all  --  anywhere             192.168.0.1
DNAT       tcp  --  anywhere             192.168.0.1        tcp dpt:www to:192.168.1.4:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain VSERVER (1 references)
target     prot opt source               destination

Подскажите пожалуйста, что же я делаю не так?

[Dm1try]

ИМХО, примерно вот так (при default политиках DROP):

Код:

iptables -A  PREROUTING -t nat -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
iptables -A FORWARD  -t filter -p all -i $EXT_IF -o $INT_IF -j ext-to-int
iptables -A FORWARD  -t filter -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -N  ext-to-int
iptables -A ext-to-int -p tcp -d $INT_IP --dport INT_PORT -j ACCEPT
iptables -A ext-to-int -p all -d $INT_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

В Вашем случае, опять таки ИМХО, будет достаточно просто:

Код:

iptables -A  PREROUTING -t nat -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT

Далеше пакет пойдет в FORWARD и получит по умолчанию ACCEPT, далее в POSTROUTING - ACCEPT и т.д.

[alive_corpse]

Я знаю, форвард в дальнейшем будет DROP, поэтому скрипт пишется сразу так.

Я сглупил. Одну машину пересадил из одной подсети в другую, но пытался зайти на 192.168.0.1 с машины из 192.168.1.0/24, ибо с квм свитчем перепутал машины. Сорри, всё работает...

[zelo]

....на самом то деле нифига не решено :-)
....чо мне с PortTunnelle`м то делать? :-):-):-)

[[mzd]]

zelo, упс, прошу прощения

[Dm1try]

Цитата zelo:

....на самом то деле нифига не решено :-) ....чо мне с PortTunnelle`м то делать? :-):-):-) »

Если Вы не опишете зачем это нужно - то вам никто и не ответит.

В общем случае - я уже сказал выше.