From: Gürkan KARABATAK (gkarabatak@firat.edu.tr)
Date: Wed 02 Oct 2002 - 18:02:31 EEST
Selam
Sanırım anlatamadım.
> GK> Bu satırı başa yazdığınızda hedefi 1.2.3.4 olan tüm paketler direk
olarak
> GK> alınır ve daha sonraki satırlar es geçilir. Bu sebeple daha aşağıda
olan
> GK> 3128 e yönlendirme kuralı uygulanmaz.
yazmıştım sizin bu kurala uyan paketleriniz 3128 e yönlendirme kuralına
uğramayacaktır. Direkt olarak prerouting i geçecek ve postroutingde
yaptığınız MASQ veya SNAT ile dışarı çıkacaktır.
Tekrar söylüyorum Başta yazdığınız bu satır sayesinde 1.2.3.4:80 e giden
paketler 1. kurala uyduğundan 1 den sonraki kurallara doğal olarak ta 3128
portuna yönlendirme kuralına uğramadan PREROUTING tablosundan çıkacaktır. 1
pakete 1 tablodan sadece 1 kural uygulanır oda ilk uygun gelen kuraldır.
>
> Merhaba,
>
> 02.10.2002, 17:15, Gürkan KARABATAK wrote:
> GK> iptables -t nat -I PREROUTING 1 -s $LAN -d 1.2.3.4 -p tcp --dport
80 -j
> GK> ACCEPT
> GK> Bu satırı başa yazdığınızda hedefi 1.2.3.4 olan tüm paketler direk
olarak
> GK> alınır ve daha sonraki satırlar es geçilir. Bu sebeple daha aşağıda
olan
> GK> 3128 e yönlendirme kuralı uygulanmaz. Kuralı deneyin doğruluğunu
> GK> göreceksiniz.
>
> Denemistim zaten. Bu kurala uyan bir paket LAN'dan geldigi zaman
> kabul edilecek ama sonra ne olacak? :) Hemen arkasindaki yine
> prerouting zincirindeki 3128'e yonlendirme kuralina uydugu icin
> onunla squid'e yonlendirilmis olacak. Yani localhost'ta calisiyor
> olsaydim dediginiz belki olurdu ama paketi ic agdan gonderdigim icin
> mutlaka paketi bir yere route edebilmek gerekiyor. Bu kural da
> paketi bir yere yonlendirmediginden ve paket bir sonraki squid icin
> olan yonlendirme kuralina uydugundan ise yaramiyor.
>
> Benim yapmak istedigimin galiba bir cozumu yok. Cunku prerouting
> postrouting'ten önce ve masq veya snat tanimlarini postrouting'e
> girebiliyoruz. Dolayisiyla LAN'dan gelen paket hep önce Squid'e
> gönderiliyor.
>
> sevgiler
>
> --
> Alper Oğuz alperliste@showtv.com.tr
>
>
>