[debian-users:31929] Re: ポートフォワードについて

[ikari@xxxxxxxxx]

碇です。
図を書いてくれないとわからない。。


On Thu, 28 Feb 2002 14:06:45 +0900
"chensu" <chensu@xxxxxxxxxxxx> さんは書きました:

> お返事有難う御座います。
> 確かに言ってくれた通りに、iptables -t nat -A POSTROUTING -d B -j MASQUERADE
> でうまく行きました。正直に行って、なぜそうしたらうまく行ったのかもはっきり分
> かっていません。運が良かったかなと思います。
> 
> ----- Original Message -----
> From: "Kayoko" <kayokok@xxxxxxxxxxxxxxxx>
> To: <debian-users@debian.or.jp>
> Sent: Thursday, February 28, 2002 7:52 AM
> Subject: [debian-users:31914] Re: ポートフォワードについて
> 
> 
> > はじめまして、陳蘇さん。
> > ただいまkernel-2.4.17 + iptables で格闘中のかよこです。
> > # 文章の意味するところが、よく理解できなかったのですが…
> >
> > つまり、              PC-C
> >                         |
> > --+------+--------------+-- INTERNET
> >   |     eth0 : xx.xx.xx.xx
> >   |     PC-A
> >   |       iptables -t nat -A PREROUTING  -j DNAT
> >   |                   --to-destination yy.yy.yy.yy
> >  eth0: yy.yy.yy.yy
> >  PC-B ( WEB SERVER )
> >

同じセグメント上にA,B,Cがあってリダイレクトしたいって事ですよね。

DNAT又はREDIRECTはdstしか書き換えません
SNATはsrcしか書き換えません

DNATだけだと
(A to B ) -> (A to C) -> (C to A)
AはBに要求したのにCからの返事なので無視します。

DNAT+SNATだと
(A to B) -> (B to C) -> (C to B) -> (B to A)
AはBに要求してBから返事がきたので受け取れます。

icmpはどっからきたかなんて気にしていないんでしょう

私は誰にも気づかれずに鯖を移行するのに使っています

#かよこさんするどいですね(^^;)
#私は結構悩みましたよHOWTOに書いてあるとは知りませんでした


急がず　焦らず　参ろうか
　　　碇　永志