Page 1 of 2 12 LastLast
Results 1 to 15 of 24

Thread: Как использовать DNAT для пакетов исходящих от самого роутера?

  1. #1

    Как использовать DNAT для пакетов исходящих от самого роутера?

    Подскажите, плз. Пишу вроде правильно, а выдает ошибку про аргументы:
    Code:
    $ iptables -t nat -A OUTPUT -p tcp --dst 10.2.128.97 --dport 16001 -j DNAT --to-destination 192.168.91.11
    iptables: Invalid argument
    Чего я не так делаю?
    Причем, вот без DNAT iptables записывает:
    Code:
    iptables -t nat -A OUTPUT -p tcp -d 10.2.128.97 --dport 16001
    Но мне так не надо

  2. #2
    Возможно не хватает модуля iptables. Посмотри lsmod и пройдись по /lib/modules, там должно быть что-то от iptables
    А вообще очень часто такие ошибки возникают при несоответствии ядра и iptables - например при смене ядра без пересборки iptables. Вечером попробую у себя DNAT поднять.

  3. #3
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by kodmis View Post
    Подскажите, плз. Пишу вроде правильно, а выдает ошибку про аргументы:
    Code:
    $ iptables -t nat -A OUTPUT -p tcp --dst 10.2.128.97 --dport 16001 -j DNAT --to-destination 192.168.91.11
    iptables: Invalid argument
    Чего я не так делаю?
    Причем, вот без DNAT iptables записывает:
    Code:
    iptables -t nat -A OUTPUT -p tcp -d 10.2.128.97 --dport 16001
    Но мне так не надо
    Вероятно в дестинейшене порта не хватает.

  4. #4
    2 vectorm
    Не.. там можно без порта. Вообщем проверил на всякий случай - не помогло

    2 RandoMan
    Установлена последняя прошивка Олега. С модулями и ядром не баловался:
    Code:
    $ iptables -V
    iptables v1.2.7a
    $ uname -a
    Linux BigTower 2.4.20 #18 Sun Mar 30 13:13:29 MSD 2008 mips GNU/Linux
    lsmod:
    Code:
    $ lsmod
    Module                  Size  Used by    Tainted: P
    usb-storage            63928   5
    sd_mod                 13276  10
    scsi_mod               70200   3 [usb-storage sd_mod]
    printer                12900   0 (unused)
    ehci-hcd               23804   0 (unused)
    usb-uhci               28580   0 (unused)
    usbcore                78496   1 [usb-storage printer ehci-hcd usb-uhci]
    ip_nat_ftp              3912   0 (unused)
    ip_conntrack_ftp        5216   1
    ipt_NETMAP               960   2
    ip_nat_starcraft        2208   0 (unused)
    wl                    892280   0 (unused)
    et                     31288   0 (unused)
    Плохо понимаю что тут написано Интересно, а ip_nat_starcraft имеет какое-нить отношение к соотв. игрухе?
    А чего искать в /lib/modules ?

  5. #5
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Команда правильная за исключением того, что, похоже, iptables не позволяет выполнять DNAT в цепочке OUTPUT. Проверка: создайте новую цепочку в таблице nat и выполните ту команду для неё, а потом попробуйте добавить переход на эту цепочку из OUTPUT.

  6. #6
    Писал по руководству:
    http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
    Там говорят что только в цепочке OUTPUT таблицы nat можно преобразовать IP адрес для исходящих от роутера.
    Или у нас в прошивке неполноценный iptables?
    Попробую с новой цепочкой, отпишусь...
    Last edited by kodmis; 13-11-2008 at 21:01.

  7. #7
    Quote Originally Posted by Power View Post
    Команда правильная за исключением того, что, похоже, iptables не позволяет выполнять DNAT в цепочке OUTPUT. Проверка: создайте новую цепочку в таблице nat и выполните ту команду для неё, а потом попробуйте добавить переход на эту цепочку из OUTPUT.
    Вполне можно это заменить
    ip route add ... scope ... src IP
    © 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc

  8. #8
    Не нашел описания конструкции "ip route add...", но судя по "...src IP", меняется IP адрес источника, а мне нужно поменять IP назначения (DNAT!)

  9. #9
    Quote Originally Posted by kodmis View Post
    Писал по руководству:
    http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
    Там говорят что только в цепочке OUTPUT таблицы nat можно преобразовать IP адрес для исходящих от роутера.
    Или у нас в прошивке неполноценный iptables?
    Попробую с новой цепочкой, отпишусь...
    А что мешает использовать цепочку PREROUTING для этой цели?
    А в iptables действительно чего-то не хватает, так как "нормальные" дистрибутивы указанное в первом посте правило добавляют без проблем.

  10. #10
    Quote Originally Posted by Ilmarinen View Post
    А что мешает использовать цепочку PREROUTING для этой цели?
    ...
    Голова мешает.
    Нудно твердит, что PREROUTING используется для пакетов входящих в роутер через сетевой интерфейс. И не используется для пакетов сформированных локальными приложениями роутера.

  11. #11
    Quote Originally Posted by Power View Post
    Команда правильная за исключением того, что, похоже, iptables не позволяет выполнять DNAT в цепочке OUTPUT. Проверка: создайте новую цепочку в таблице nat и выполните ту команду для неё, а потом попробуйте добавить переход на эту цепочку из OUTPUT.
    Похоже наш iptables не позволяет выполнять DNAT в цепочке OUTPUT:
    $ iptables -N OUTDNAT -t nat
    $ iptables -t nat -A OUTDNAT -p tcp --dst 10.2.128.97 --dport 16001 -j DNAT --to-destination 192.168.91.11
    $ iptables -t nat -A OUTPUT -p tcp --dst 10.2.128.97 --dport 16001 -j OUTDNAT
    iptables: Invalid argument
    $ iptables -t nat -A OUTPUT -j OUTDNAT
    iptables: Invalid argument
    Чё, блин, делать-то?

  12. #12
    Join Date
    Nov 2006
    Location
    Russia, Moscow
    Posts
    3,640
    Quote Originally Posted by kodmis View Post
    Похоже наш iptables не позволяет выполнять DNAT в цепочке OUTPUT:

    Чё, блин, делать-то?
    Ну вариантов как всегда несколько:
    1. Достроить Олегу дачу - это должно ускорить выпуск новой прошивки
    2. Включиться в процесс обновления iptables - есть альфа версия прошивки с iptables 1.3.8, но требуются квалифицированные тестеры+разработчики
    3. Перейти на OpenWRT

  13. #13
    Join Date
    Apr 2007
    Location
    СПб
    Posts
    129
    Quote Originally Posted by kodmis View Post
    Плохо понимаю что тут написано Интересно, а ip_nat_starcraft имеет какое-нить отношение к соотв. игрухе?
    Да, имеет, и даже в Веб-интерфейсе есть соотв. упоминание - видать первоначальную прошивку писали какие-то "южнокорейские" китайцы

  14. #14
    Quote Originally Posted by lly View Post
    Ну вариантов как всегда несколько:
    1. Достроить Олегу дачу - это должно ускорить выпуск новой прошивки
    2. Включиться в процесс обновления iptables - есть альфа версия прошивки с iptables 1.3.8, но требуются квалифицированные тестеры+разработчики
    3. Перейти на OpenWRT
    Это хорошо, что есть свобода выбора [*]Опыт в принципе есть, только не всегда положительный. [*]Готов оттестить. Квалификацию не велика, но думаю подниму в процессе. К кому обращаться? [*]Не-е не наше это.

  15. #15
    Quote Originally Posted by VEDMED007 View Post
    Да, имеет, и даже в Веб-интерфейсе есть соотв. упоминание - видать первоначальную прошивку писали какие-то "южнокорейские" китайцы
    ... для фанатов старкрафта.

    А если серьезно. Как выгрузить этот модуль? (не играю в старкрафт, звиняйте Он наверное драгоценную память занимает?
    А где можно посмотреть назначение остальных модулей? Может половина мне и нафик не нужна ?
    Спасибо

Page 1 of 2 12 LastLast

Similar Threads

  1. Как сменить MAC-адрес роутера?
    By FilimoniC in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 338
    Last Post: 05-07-2016, 17:15
  2. Quake2, CS, Minecraft и PvPGN (battle.net) сервер на роутере?
    By GearST in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 47
    Last Post: 04-03-2014, 16:54
  3. Установка OpenVPN в основную память для НОВИЧКОВ
    By Mirage-net in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 241
    Last Post: 24-05-2011, 21:48
  4. как соединить кабелем 2 роутера
    By brabus in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 0
    Last Post: 28-02-2007, 19:04

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •