Здравствуйте, уже третий день бьюсь прочитал куча информации по Iptables но пока ни как обьясняю.У меня пров закрыл доступ к сайту xxx.com (назовём так :)).
Купил ОПЕНВПН всё нормально работает но слишком уж это просто :)точнее хочется понять как работает НАТ в Linux (так как в нём совсем не давно).
И так купил сервер (подальше от прова) скажем yyy.com
Linux CentOS_5_4 2.6.18-164.el5xen
поставил на него iptables v1.3.5
вот что у нас iptables-save[root@CentOS_5_4 ~]# iptables-save
# Generated by iptables-save v1.3.5 on Tue Dec 29 09:44:54 2009
*filter
:INPUT ACCEPT [10975:908192]
:FORWARD ACCEPT [27:1372]
:OUTPUT ACCEPT [10379:1137839]
COMMIT
# Completed on Tue Dec 29 09:44:54 2009
# Generated by iptables-save v1.3.5 on Tue Dec 29 09:44:54 2009
*mangle
:PREROUTING ACCEPT [7196:522012]
:INPUT ACCEPT [10975:908192]
:FORWARD ACCEPT [51:2644]
:OUTPUT ACCEPT [10381:1138087]
:POSTROUTING ACCEPT [10432:1140731]
COMMIT
# Completed on Tue Dec 29 09:44:54 2009
# Generated by iptables-save v1.3.5 on Tue Dec 29 09:44:54 2009
*nat
:PREROUTING ACCEPT [3887:232604]
:POSTROUTING ACCEPT [1275:89324]
:OUTPUT ACCEPT [1259:88484]
-A PREROUTING -d yyy.com(IP) -p tcp -m tcp --dport 80 -j DNAT --to-destination xxx.com(IP):80
COMMIT
# Completed on Tue Dec 29 09:44:54 2009Как видите всё на разрешение правило есть вопрос в том правильно или нет.
Сетевой интерфейс всего 1 eth0 и lop.После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е. пакеты куда то уходят:)
Помогите плиз
Вам бы почитать не просто про нат, в вообще обо всем :)
да и к чему такие извращения, поднимите тунель(ipip) и через него пускайте на закрытые сайты.
>Вам бы почитать не просто про нат, в вообще обо всем :)
>
>да и к чему такие извращения, поднимите тунель(ipip) и через него пускайте
>на закрытые сайты.Хорошо не много добавлю, пров закрыл PPTP, L2TP ну короче GRE протокол.
остаётся OPENVPN, пока не поднимал. но всё таки интересна сама задача как сделать это без всяких тама прокси и OPENVPN это же реально :). есть какое то решение, честно сколько не искал найти не могу, тыкните кто нить носом в конкретную точку, а не почитать про то и про это:). в какую сторону копать :)
читайте по апачу mod_proxy
ну или на нестандарном порту поднимите сквид
а лучще всего, в топку такого прова.
>читайте по апачу mod_proxy
>ну или на нестандарном порту поднимите сквид
>а лучще всего, в топку такого прова.Странный совет в топку прова :) (а если он один:)).
Можно решить вопрос без апачей и Squid?
Для чего Linux iptables :), это файрволл или просто для глас :) чтобы был :).Есть решение мой проблемы на Iptables или нет?
если нет тему сношу.
>-A PREROUTING -d yyy.com(IP) -p tcp -m tcp --dport 80 -j DNAT
>--to-destination xxx.com(IP):80
>После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е.
>пакеты куда то уходят:)
>Помогите плизОтветные пакеты с xxx.com как планируешь получать?
>>-A PREROUTING -d yyy.com(IP) -p tcp -m tcp --dport 80 -j DNAT
>>--to-destination xxx.com(IP):80
>>После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е.
>>пакеты куда то уходят:)
>>Помогите плиз
>
>Ответные пакеты с xxx.com как планируешь получать?неужели дело в этом?
>>>-A PREROUTING -d yyy.com(IP) -p tcp -m tcp --dport 80 -j DNAT
>>>--to-destination xxx.com(IP):80
>>>После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е.
>>>пакеты куда то уходят:)
>>>Помогите плиз
>>
>>Ответные пакеты с xxx.com как планируешь получать?
>
>неужели дело в этом?Блин ранее использовал Kerio (WINDOWS) и прокидывал без проблем :) и не прописывал на удалённом нечего, всё тупо работало годами.
А вот на Linux надо прописать на удалённом, либо у меня вопрос глупый (т.е. раз и решил проблему) или в linux этого нельзя сделать :))))))))))))))
всё можно, но нужно ли? идити ка Вы со своим керио, в свою винду.
Вам бы понять как все работает, но вы не захотели, значит не для Вас...
>всё можно, но нужно ли? идити ка Вы со своим керио, в
>свою винду.
>Вам бы понять как все работает, но вы не захотели, значит не
>для Вас...Явно у Вас просто пустые слова, всё можно, но нужно ли? :)
Удачи Вам!Есть тут люди которые могут сказать реальное решение из того что есть (Linux+iptables)?
>[оверквотинг удален]
>>свою винду.
>>Вам бы понять как все работает, но вы не захотели, значит не
>>для Вас...
>
>Явно у Вас просто пустые слова, всё можно, но нужно ли? :)
>
>Удачи Вам!
>
>Есть тут люди которые могут сказать реальное решение из того что есть
>(Linux+iptables)?Есть и могут. И даже говорили реальные решения. В линукс нет kerio и вам сказали куда с ним идти. Если надо на iptables то есть howto на руском по iptables. Мозг и гугл в линукс в отличиет от kerio нужен. Почитайте теорию и задайте нормально вопрос, а не огрызайтесь.
>[оверквотинг удален]
>>Удачи Вам!
>>
>>Есть тут люди которые могут сказать реальное решение из того что есть
>>(Linux+iptables)?
>
>Есть и могут. И даже говорили реальные решения. В линукс нет kerio
>и вам сказали куда с ним идти. Если надо на iptables
> то есть howto на руском по iptables. Мозг и гугл
>в линукс в отличиет от kerio нужен. Почитайте теорию и задайте
>нормально вопрос, а не огрызайтесь.Начнём с того что керио есть под Linux (прежде чем что то говорить нормальные люди думаю потом говорят).
Был вопрос как с Linux+iptables прокинуть.
Теперь посмотрим супер ответы:
1.Поменять прова, я задал вопрос в рубрике выбираем прова?:)
2.Реального решения пока ни кто не сказал.
Без Вас понятно что всё описано в Howto вот вы его читали подскажите мне тупому как это сделать, место того чтобы ещё раз говорить понятные вещи (читал я, не доходит до меня, подскажите).
Я понимаю для чего нужен форум я не просто задал задачу помоги я сам нифига не читал мне нужно решение, я читал не нашёл информации.
По этому прошу помощи тут, по делу прошу отвечать если реально нет решения у вас не пишите вообще, зачем засоряете, говорите по делу?
>[оверквотинг удален]
>>>(Linux+iptables)?
>>
>>Есть и могут. И даже говорили реальные решения. В линукс нет kerio
>>и вам сказали куда с ним идти. Если надо на iptables
>> то есть howto на руском по iptables. Мозг и гугл
>>в линукс в отличиет от kerio нужен. Почитайте теорию и задайте
>>нормально вопрос, а не огрызайтесь.
>
>Начнём с того что керио есть под Linux (прежде чем что то
>говорить нормальные люди думаю потом говорят).почтовый сервер отличается фаервола или вы видели kerio фаервол под линукс он даже не двусмыслено зовётся keriowinroute firewall
>Был вопрос как с Linux+iptables прокинуть.
>Теперь посмотрим супер ответы:
>1.Поменять прова, я задал вопрос в рубрике выбираем прова?:)
>2.Реального решения пока ни кто не сказал.прокси советовали делов минут на 10-15.
>[оверквотинг удален]
>говорить понятные вещи (читал я, не доходит до меня, подскажите).
>Я понимаю для чего нужен форум я не просто задал задачу помоги
>я сам нифига не читал мне нужно решение, я читал не
>нашёл информации.
>По этому прошу помощи тут, по делу прошу отвечать если реально нет
>решения у вас не пишите вообще, зачем засоряете, говорите по делу?
>
>
>-A PREROUTING -d yyy.com(IP) -p tcp -m tcp --dport 80 -j DNAT --to-destination >xxx.com(IP):80
>После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е. >пакеты куда то уходят:)Что значит куда-то что tcpdump тяжко набрать чтоб посмотреть куда. И если вы сделали перенаправление всех входящих на yyy.com по 80 порту на xxx.com то где по вашему это куда-то и с какой радости HTTP сервис сервера yyy.com должен полсле такого работать. И SNAT почему не прописан куда по-вашему xxx.com должен слать ответ. Да и ответы xxx.com тоже надо обратно на ваш основной сервер корректно отправлять.
Вопрос зачем через фаервол решать задачу прокси, которых в линукс множество.
>[оверквотинг удален]
>>После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е. >пакеты куда то уходят:)
>
>Что значит куда-то что tcpdump тяжко набрать чтоб посмотреть куда. И если
>вы сделали перенаправление всех входящих на yyy.com по 80 порту на
>xxx.com то где по вашему это куда-то и с какой радости
> HTTP сервис сервера yyy.com должен полсле такого работать. И SNAT
>почему не прописан куда по-вашему xxx.com должен слать ответ. Да и
>ответы xxx.com тоже надо обратно на ваш основной сервер корректно отправлять.
>
>Вопрос зачем через фаервол решать задачу прокси, которых в линукс множество.По поводу Kerio : http://www.kerio.com/firewall/software-appliances
По поводу ПРОКСИ - я просил решение Linux + iptables а не Linux + proxy.
>По поводу ПРОКСИ - я просил решение Linux + iptables а не
>Linux + proxy.Про SNAT вам чутьли не в первом ответе сказали.
>>По поводу ПРОКСИ - я просил решение Linux + iptables а не
>>Linux + proxy.
>
>Про SNAT вам чутьли не в первом ответе сказали.Всё это уже пустые разговоры.
Спасибо, с наступающим.Посмотрите на ответ который (скажем дошёл до меня:)) форум не для того чтобы показать какие люди блин глупые которые обращаются, и не для того чтобы говорить загадками типа и ещё одно правило SNAT :) ФОРУМ ЧТОБЫ ПОМОГАТЬ, ДАЛИ РЕШЕНИЕ И В КОНЦЕ НАКАЗАЛИ ЧИТАТЬ БОЛЕЕ ОТЧЁТЛИВО :) А НЕ ТАК РЕШЕНИЕ НЕ СООБЩИЛИ ТОЛЬКО СКАЗАЛИ ЧИТАТЬ ЛУЧШЕ НАДО :) (ЧЕСТНО ОБИДЕТЬ НЕ ХОЧУ И ЕЖУ ПОНЯТНО ЧТО ВИДНО МОЗГОВ НЕ ХВАТАЕТ У МЕНЯ ПОЭТОМУ И НАФОРУМ ПРИШЁЛ)
СМЕШНО АЖ :)
>Посмотрите на ответ который (скажем дошёл до меня:)) форум не для того
>чтобы показать какие люди блин глупые которые обращаются, и не для
>того чтобы говорить загадками типа и ещё одно правило SNAT :)
>ФОРУМ ЧТОБЫ ПОМОГАТЬ, ДАЛИ РЕШЕНИЕ И В КОНЦЕ НАКАЗАЛИ ЧИТАТЬ БОЛЕЕ
>ОТЧЁТЛИВО :) А НЕ ТАК РЕШЕНИЕ НЕ СООБЩИЛИ ТОЛЬКО СКАЗАЛИ ЧИТАТЬ
>ЛУЧШЕ НАДО :) (ЧЕСТНО ОБИДЕТЬ НЕ ХОЧУ И ЕЖУ ПОНЯТНО ЧТО
>ВИДНО МОЗГОВ НЕ ХВАТАЕТ У МЕНЯ ПОЭТОМУ И НАФОРУМ ПРИШЁЛ)
>
>СМЕШНО АЖ :)Вас также с праздником.
Ответы на форумах побуждают давать две основные причины.
1. Вопрос интересен самому отвечающему.
2. Вопрошающий самим вопросом показал, что у него есть желание изучать систему, и таким образом, со временем он сам может оказаться полезным сообществу.
"Пропиши то-то туда-то" - это ответ техподдержки.
>>>-A PREROUTING -d yyy.com(IP) -p tcp -m tcp --dport 80 -j DNAT
>>>--to-destination xxx.com(IP):80
>>>После задания правила -A PREROUTING HTTP сервис сервера yyy.com перестаёт работать т.е.
>>>пакеты куда то уходят:)
>>>Помогите плиз
>>
>>Ответные пакеты с xxx.com как планируешь получать?
>
>неужели дело в этом?Да, здесь не как в керио, здесь нужно знать, что делаешь.
Если хотите реализовать через iptables, изучайте iptables.
Хотите использовать nat, почитайте что это такое, какие у него возможности и ограничения, как при этом должны ходить пакеты.После этого либо добавите еще несколько правил (не мене одного), либо откажетесь от затеи.
>[оверквотинг удален]
>>
>>неужели дело в этом?
>
>Да, здесь не как в керио, здесь нужно знать, что делаешь.
>Если хотите реализовать через iptables, изучайте iptables.
>Хотите использовать nat, почитайте что это такое, какие у него возможности и
>ограничения, как при этом должны ходить пакеты.
>
>После этого либо добавите еще несколько правил (не мене одного), либо откажетесь
>от затеи.Подскажите ссылку возможно на мою же ситуацию.
>>Да, здесь не как в керио, здесь нужно знать, что делаешь.
>>Если хотите реализовать через iptables, изучайте iptables.
>>Хотите использовать nat, почитайте что это такое, какие у него возможности и
>>ограничения, как при этом должны ходить пакеты.
>>
>>После этого либо добавите еще несколько правил (не мене одного), либо откажетесь
>>от затеи.
>
>Подскажите ссылку возможно на мою же ситуацию.Общее руководство
http://www.opennet.me/docs/RUS/iptables/В Вашем случае нужно предусмотреть, чтобы пакеты, которые отправляет xxx адресовывались yyy. Как минимум, еще snat на yyy, если в Вашей конфигурации сети это возможно.
>[оверквотинг удален]
>>
>>Да, здесь не как в керио, здесь нужно знать, что делаешь.
>>Если хотите реализовать через iptables, изучайте iptables.
>>Хотите использовать nat, почитайте что это такое, какие у него возможности и
>>ограничения, как при этом должны ходить пакеты.
>>
>>После этого либо добавите еще несколько правил (не мене одного), либо откажетесь
>>от затеи.
>
>Подскажите ссылку возможно на мою же ситуацию.http://www.opennet.me/docs/RUS/iptables/#DNATTARGET
внимательно читайте что ниже таблички и применяйте к своей весьма простой ситуации.
>[оверквотинг удален]
>>>
>>>После этого либо добавите еще несколько правил (не мене одного), либо откажетесь
>>>от затеи.
>>
>>Подскажите ссылку возможно на мою же ситуацию.
>
>http://www.opennet.me/docs/RUS/iptables/#DNATTARGET
>
>внимательно читайте что ниже таблички и применяйте к своей весьма простой ситуации.
>ВОТ БЛИН ВОТ ПРОСТО НЕ МНОГО ЧЕЛОВЕКА НАПРАВИТЬ:
*nat
:PREROUTING ACCEPT [18748:1125294]
:POSTROUTING ACCEPT [3114:217103]
:OUTPUT ACCEPT [3094:216071]
-A PREROUTING -d "обходной" -p tcp -m tcp --dport 80 -j DNAT --to-destination "нужный":80
-A POSTROUTING -d "нужный" -p tcp -m tcp --dport 80 -j SNAT --to-source "обходной"
COMMIT
# Completed on Wed Dec 30 15:17:42 2009
[root@CentOS_5_4 ~]#СПАСИБО!
Только информация ни каких личных размышлений, респект :)
Ещё раз спасибо!