URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4619
[ Назад ]

Исходное сообщение
"форвард пакетов на внешний ИП"

Отправлено SamVlas , 21-Июн-10 13:45 
Возникла такая ситуация

Есть сервер в интернете IP_1 на котором открыт 443 на котором установлен web https куда ходят юзеры, с недавних пор у некоторых начались проблему (пока выясняем почему и где что). Есть еще сервер в интернете IP_2 на который у них всегда есть доступ.

Нужно сделать форвард пакетов при конекте на IP_2:443 на IP_1:443

вопрос, как сделать? и возможно ли это? IP_1 и IP_2 совершенно разные подсети.


Содержание

Сообщения в этом обсуждении
"форвард пакетов на внешний ИП"
Отправлено reader , 21-Июн-10 14:13 
>[оверквотинг удален]
>
>Есть сервер в интернете IP_1 на котором открыт 443 на котором установлен
>web https куда ходят юзеры, с недавних пор у некоторых начались
>проблему (пока выясняем почему и где что). Есть еще сервер в
>интернете IP_2 на который у них всегда есть доступ.
>
>Нужно сделать форвард пакетов при конекте на IP_2:443 на IP_1:443
>
>вопрос, как сделать? и возможно ли это? IP_1 и IP_2 совершенно разные
>подсети.

если клиенты к IP_1 идут через вашу машину, то можно

http://www.opennet.me/docs/RUS/iptables/#DNATTARGET


"форвард пакетов на внешний ИП"
Отправлено SamVlas , 21-Июн-10 14:16 
клиенты заходят в интернет через своего провайдера

IP_1 и IP_2 разные сервера в инете


"форвард пакетов на внешний ИП"
Отправлено SamVlas , 21-Июн-10 14:17 
то есть что нужно

Клиент -> IP_2:443 и попадает на IP_1:443


"форвард пакетов на внешний ИП"
Отправлено reader , 21-Июн-10 14:21 
>то есть что нужно
>
>Клиент -> IP_2:443 и попадает на IP_1:443

если пакета от клиента идут не через вас, то влиять на них вы не можете, клиент сам должен сменить адрес

если IP_2 это вас ресурс, то можете на нем внести изменения


"форвард пакетов на внешний ИП"
Отправлено SamVlas , 21-Июн-10 14:25 
>>то есть что нужно
>>
>>Клиент -> IP_2:443 и попадает на IP_1:443
>
>если пакета от клиента идут не через вас, то влиять на них
>вы не можете, клиент сам должен сменить адрес

Поясню еще раз - мозг уже едет, поэтому извиняюсь что не доходчиво объяснил.

Клиенты конектились к IP_1, у кого проблемы - поменяют адрес и будут конектиться к IP_2


"форвард пакетов на внешний ИП"
Отправлено reader , 21-Июн-10 14:37 
>[оверквотинг удален]
>>>Клиент -> IP_2:443 и попадает на IP_1:443
>>
>>если пакета от клиента идут не через вас, то влиять на них
>>вы не можете, клиент сам должен сменить адрес
>
>Поясню еще раз - мозг уже едет, поэтому извиняюсь что не доходчиво
>объяснил.
>
>Клиенты конектились к IP_1, у кого проблемы - поменяют адрес и будут
>конектиться к IP_2

а уже с IP_2 пакеты перенаправить на IP_1?
если да, и у вас есть доступ по управлению машиной IP_2, то ссылку я вам дал


"форвард пакетов на внешний ИП"
Отправлено SamVlas , 21-Июн-10 14:41 
>а уже с IP_2 пакеты перенаправить на IP_1?
>если да, и у вас есть доступ по управлению машиной IP_2, то
>ссылку я вам дал

да именно так, но

iptables -t nat -A PREROUTING --dst $IP_2 -p tcp --dport 443 -j DNAT --to-destination $IP_1

не работает.

telnet IP_2 443

выдает что не удалось подключиться к узлу


"форвард пакетов на внешний ИП"
Отправлено reader , 21-Июн-10 14:49 
>[оверквотинг удален]
>да именно так, но
>
>iptables -t nat -A PREROUTING --dst $IP_2 -p tcp --dport 443 -j
>DNAT --to-destination $IP_1
>
>не работает.
>
>telnet IP_2 443
>
>выдает что не удалось подключиться к узлу

http://www.opennet.me/openforum/vsluhforumID1/89151.html

только про "конечную точку" там бред, дело в пути возврата пакетов


"форвард пакетов на внешний ИП"
Отправлено SamVlas , 21-Июн-10 14:53 
>[оверквотинг удален]
>>
>>не работает.
>>
>>telnet IP_2 443
>>
>>выдает что не удалось подключиться к узлу
>
>http://www.opennet.me/openforum/vsluhforumID1/89151.html
>
>только про "конечную точку" там бред, дело в пути возврата пакетов

iptables -t nat -A POSTROUTING -d IP_2 -j SNAT --to-source IP_1

не помогло


"форвард пакетов на внешний ИП"
Отправлено reader , 21-Июн-10 14:57 
>[оверквотинг удален]
>>>
>>>выдает что не удалось подключиться к узлу
>>
>>http://www.opennet.me/openforum/vsluhforumID1/89151.html
>>
>>только про "конечную точку" там бред, дело в пути возврата пакетов
>
>iptables -t nat -A POSTROUTING -d IP_2 -j SNAT --to-source IP_1
>
>не помогло

если перенаправление делается на IP_2, то

iptables -t nat -A POSTROUTING -d IP_1 -j SNAT --to-source IP_2
и DNAT, тоже должен остаться


"форвард пакетов на внешний ИП"
Отправлено SamVlas , 21-Июн-10 15:11 
спасибо помогло! дело было в других правилах - почистил все заработало.