URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4670
[ Назад ]

Исходное сообщение
"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 19-Авг-10 21:47

1--есть камера с ip 192.168.3.92 с портом 80(настривается)
2--есть сервер с pppoe на linux
--- eth0 192.168.3.1 который смотрит влокалку
--- eth1 ip 1.1.1.1 который смотрит в инет, и который раздает инет виндовым машинам со статическим айпишками
3--есть удаленный комп с внешним ip 2.2.2.2
---
eth0 и камера - воткнуты в хаб, и через него раздается инет, камера
Какие правила нужны для iptables, чтобы при обращении к 1.1.1.1:329, сервак перенаправлял меня на 192.168.3.92:80
жду от вас помощи, так как с iptables незнаком, а времени изучать маны нет

Содержание

перенаправление в iptables с локалки в инет,shadow_alone, 22:03 , 19-Авг-10
- перенаправление в iptables с локалки в инет,Yur4ik, 11:14 , 20-Авг-10
  - перенаправление в iptables с локалки в инет,shadow_alone, 11:17 , 20-Авг-10
- перенаправление в iptables с локалки в инет,Azamad, 20:55 , 21-Авг-10
  - перенаправление в iptables с локалки в инет,shadow_alone, 10:20 , 22-Авг-10
    - перенаправление в iptables с локалки в инет,Azamad, 11:26 , 22-Авг-10
      - перенаправление в iptables с локалки в инет,shadow_alone, 11:30 , 22-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 11:30 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,shadow_alone, 12:11 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 12:37 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 13:50 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,reader, 14:32 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 15:52 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Andrey Mitrofanov, 16:06 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 16:15 , 23-Авг-10
        перенаправление в iptables с локалки в инет,Azamad, 22:33 , 24-Авг-10
        
        перенаправление в iptables с локалки в инет,reader, 16:12 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 17:22 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,reader, 17:38 , 23-Авг-10
        
        перенаправление в iptables с локалки в инет,Azamad, 08:47 , 24-Авг-10
  - перенаправление в iptables с локалки в инет,Andrey Mitrofanov, 11:46 , 23-Авг-10
    - перенаправление в iptables с локалки в инет,Azamad, 11:51 , 23-Авг-10

Сообщения в этом обсуждении

"перенаправление в iptables с локалки в инет"
Отправлено shadow_alone , 19-Авг-10 22:03

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 329 -j DNAT --to-destination 192.168.3.92:80
iptables -t nat -A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.3.1

"перенаправление в iptables с локалки в инет"
Отправлено Yur4ik , 20-Авг-10 11:14

>iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 329 -j
>DNAT --to-destination 192.168.3.92:80
>iptables -t nat -A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport
>80 -j SNAT --to-source 192.168.3.1
подскажите, зачем второе правило, разве так не будет работать ?
-A PREROUTING -d 1.1.1.1 -i eth1 -p tcp -m tcp --dport 329 -j DNAT --to-destination 192.168.3.92:80

"перенаправление в iptables с локалки в инет"
Отправлено shadow_alone , 20-Авг-10 11:17

Читайте доки.
В некоторых случаях вторая строка необходима, так сказать "обратка".

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 21-Авг-10 20:55

>iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 329 -j
>DNAT --to-destination 192.168.3.92:80
>iptables -t nat -A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport
>80 -j SNAT --to-source 192.168.3.1
А если интеренет через pppoe, то правила такие же остаются??
iptables -t nat -A PREROUTING -p tcp -i pppO --dport 329 -j DNAT --to-destination 192.168.3.92:80
iptables -t nat -A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.3.1
А то почему то не работает! =(

"перенаправление в iptables с локалки в инет"
Отправлено shadow_alone , 22-Авг-10 10:20

эти строки должны стартовать уже после поднятия ppp0

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 22-Авг-10 11:26

>эти строки должны стартовать уже после поднятия ppp0
так и делается! pppo всегда поднято на серваке! но все равно не работает!

"перенаправление в iptables с локалки в инет"
Отправлено shadow_alone , 22-Авг-10 11:30

покажите вывод iptables-save
является ли этот сервер шлюзом для компа куда перенаправляется порт?
Вы уверены что интерфейс ppp0?
почему у Вас в строке вместо 0(ноль) стоит O(буква O).
можете поставить ppp+

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 11:30

>покажите вывод iptables-save
# Generated by iptables-save v1.3.6 on Mon Aug 23 11:27:00 2010
*mangle
:PREROUTING ACCEPT [243568:84792889]
:INPUT ACCEPT [34534:14465596]
:FORWARD ACCEPT [88320:55850277]
:OUTPUT ACCEPT [29715:6633387]
:POSTROUTING ACCEPT [117145:62404004]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Aug 23 11:27:00 2010
# Generated by iptables-save v1.3.6 on Mon Aug 23 11:27:00 2010
*filter
:INPUT DROP [2337:129467]
:FORWARD DROP [1270:60988]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -i gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 81 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 137 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 138 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 139 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 81 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 8080 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 3128 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 5190 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 137 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 138 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 139 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 445 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 1723 -j ACCEPT
-A FORWARD -d 217.12.96.24 -p udp -m udp --dport 87 -j ACCEPT
-A FORWARD -d 217.12.97.24 -p udp -m udp --dport 87 -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.0.0 -i gre -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.0.0 -o gre -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Mon Aug 23 11:27:00 2010
# Generated by iptables-save v1.3.6 on Mon Aug 23 11:27:00 2010
*nat
:PREROUTING ACCEPT [127295:14915677]
:POSTROUTING ACCEPT [1147:125625]
:OUTPUT ACCEPT [347:65686]
-A PREROUTING -i pppO -p tcp -m tcp --dport 329 -j DNAT --to-destination 192.168.3.92:80
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 329 -j DNAT --to-destination 192.168.3.92:80
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 329 -j DNAT --to-destination 192.168.3.92:80
-A POSTROUTING -o ppp0 -j SNAT --to-source 78.138.130.117
-A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.3.1
-A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.3.1
-A POSTROUTING -d 192.168.3.92 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.3.1
COMMIT
# Completed on Mon Aug 23 11:27:00 2010
>
>является ли этот сервер шлюзом для компа куда перенаправляется порт?
нет, я захожу на сервер с инета
>Вы уверены что интерфейс ppp0?
да
>почему у Вас в строке вместо 0(ноль) стоит O(буква O).
>можете поставить ppp+
исправил
UPD нарисовал предположительную схеху, как все должно работать http://slil.ru/29589239

"перенаправление в iptables с локалки в инет"
Отправлено shadow_alone , 23-Авг-10 12:11

>>является ли этот сервер шлюзом для компа куда перенаправляется порт?
>
>нет, я захожу на сервер с инета
Вы вопрос то поняли?
внимательно перечитываем и отвечам

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 12:37

>>>является ли этот сервер шлюзом для компа куда перенаправляется порт?
>>
>>нет, я захожу на сервер с инета
>
>Вы вопрос то поняли?
>
>внимательно перечитываем и отвечам
то есть прописан ли как шлюз сервер на камере? нет

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 13:50

>>>>является ли этот сервер шлюзом для компа куда перенаправляется порт?
>>>
>>>нет, я захожу на сервер с инета
>>
>>Вы вопрос то поняли?
>>
>>внимательно перечитываем и отвечам
>
>то есть прописан ли как шлюз сервер на камере? да

"перенаправление в iptables с локалки в инет"
Отправлено reader , 23-Авг-10 14:32

>[оверквотинг удален]
>-A FORWARD -i eth0 -p udp -m udp --dport 445 -j ACCEPT
>
>-A FORWARD -i eth0 -p udp -m udp --dport 1723 -j ACCEPT
>
>-A FORWARD -d 217.12.96.24 -p udp -m udp --dport 87 -j ACCEPT
>
>-A FORWARD -d 217.12.97.24 -p udp -m udp --dport 87 -j ACCEPT
>
>-A FORWARD -d 192.168.0.0/255.255.0.0 -i gre -j ACCEPT
>-A FORWARD -s 192.168.0.0/255.255.0.0 -o gre -j ACCEPT
уберите -i gre и -o gre ,
gre - это же не название интерфейса
>[оверквотинг удален]
>
>нет, я захожу на сервер с инета
>>Вы уверены что интерфейс ppp0?
>
>да
>>почему у Вас в строке вместо 0(ноль) стоит O(буква O).
>>можете поставить ppp+
>
>исправил
>UPD нарисовал предположительную схеху, как все должно работать http://slil.ru/29589239

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 15:52

>[оверквотинг удален]
>>-A FORWARD -i eth0 -p udp -m udp --dport 1723 -j ACCEPT
>>
>>-A FORWARD -d 217.12.96.24 -p udp -m udp --dport 87 -j ACCEPT
>>
>>-A FORWARD -d 217.12.97.24 -p udp -m udp --dport 87 -j ACCEPT
>>
>>-A FORWARD -d 192.168.0.0/255.255.0.0 -i gre -j ACCEPT
>>-A FORWARD -s 192.168.0.0/255.255.0.0 -o gre -j ACCEPT
>уберите -i gre и -o gre ,
>gre - это же не название интерфейса
на gre весит айпителефония, убить нельзя

"перенаправление в iptables с локалки в инет"
Отправлено Andrey Mitrofanov , 23-Авг-10 16:06

>>gre - это же не название интерфейса
>на gre весит айпителефония, убить нельзя
То есть "gre" -- название конкретно _интерфейса_? Этаниаписуема.
...убить нельзя помиловать.

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 16:15

>>>gre - это же не название интерфейса
>>на gre весит айпителефония, убить нельзя
>
>То есть "gre" -- название конкретно _интерфейса_? Этаниаписуема.
>
>...убить нельзя помиловать.
нет, только 2 интерфейса, на gre поднят VPN, через него айпителефония c филиалами

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 24-Авг-10 22:33

>[оверквотинг удален]
>
>eth1 loc  Link encap:Ethernet  HWaddr 00:11:95:f5:88:54
>          inet addr:192.168.6.1  Bcast:192.168.6.255  Mask:255.255.255.0
>          inet6 addr: fe80::211:95ff:fef5:8854/64 Scope:Link
>          >
>
>gre6 vpn  Link encap:UNSPEC  HWaddr 4E-8A-99-91-00-00-00-00-00-00-00-00-00-00-00-00
>          inet addr:192.168.6.1  P-t-P:192.168.6.1  Mask:255.255.255.255
>
>походу при перенаправлении все уходит на gre6 интерфейс, как бы сделать что бы с >192.168.6.92 уходило имено eth1
UPD!! сам разобрался =)

"перенаправление в iptables с локалки в инет"
Отправлено reader , 23-Авг-10 16:12

>[оверквотинг удален]
>>>-A FORWARD -d 217.12.96.24 -p udp -m udp --dport 87 -j ACCEPT
>>>
>>>-A FORWARD -d 217.12.97.24 -p udp -m udp --dport 87 -j ACCEPT
>>>
>>>-A FORWARD -d 192.168.0.0/255.255.0.0 -i gre -j ACCEPT
>>>-A FORWARD -s 192.168.0.0/255.255.0.0 -o gre -j ACCEPT
>>уберите -i gre и -o gre ,
>>gre - это же не название интерфейса
>
>на gre весит айпителефония, убить нельзя
gre - это интерфейс?
покажите ifconfig.
в общем разрешите FORWARD к 192.168.3.92

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 17:22

>gre - это интерфейс?
>покажите ifconfig.
>
>в общем разрешите FORWARD к 192.168.3.92
iptables -A FORWARD -i eth+ -p tcp -m tcp --dport329 -j ACCEPT  так??
ifconfig

eth0      Link encap:Ethernet  HWaddr 00:11:D8:26:D5:CB
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          inet6 addr: fe80::211:d8ff:fe26:d5cb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:69536 errors:0 dropped:0 overruns:0 frame:0
          TX packets:74322 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:22029217 (21.0 MiB)  TX bytes:44680653 (42.6 MiB)
eth1      Link encap:Ethernet  HWaddr 00:E0:4C:3C:CC:90
          inet6 addr: fe80::2e0:4cff:fe3c:cc90/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:92388 errors:0 dropped:0 overruns:0 frame:0
          TX packets:71806 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:48028818 (45.8 MiB)  TX bytes:23169729 (22.0 MiB)
          Interrupt:217 Base address:0xa800
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:840 (840.0 b)  TX bytes:840 (840.0 b)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:78.138.130.117  P-t-P:10.16.254.20  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:77373 errors:0 dropped:0 overruns:0 frame:0
          TX packets:69871 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:44473423 (42.4 MiB)  TX bytes:21516329 (20.5 MiB)

"перенаправление в iptables с локалки в инет"
Отправлено reader , 23-Авг-10 17:38

iptables -I FORWARD -p tcp -d 192.168.3.92 --dport 80 -j ACCEPT

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 24-Авг-10 08:47

>iptables -I FORWARD -p tcp -d 192.168.3.92 --dport 80 -j ACCEPT
Спасибо всем, кто откликнулся, ВСЕ ЗАРАБОТАЛО

"перенаправление в iptables с локалки в инет"
Отправлено Andrey Mitrofanov , 23-Авг-10 11:46

>iptables -t nat -A PREROUTING -p tcp -i pppO
^^-- Вот тут у Вас написано Пэ-Пэ-Пэ-Оу вместо положенного по жанру Пэ-Пэ-Пэ-Ноль.
>А то почему то не работает! =(
Странно! #:)

"перенаправление в iptables с локалки в инет"
Отправлено Azamad , 23-Авг-10 11:51

>>iptables -t nat -A PREROUTING -p tcp -i pppO
>
>^^-- Вот тут у Вас написано Пэ-Пэ-Пэ-Оу вместо положенного по жанру Пэ-Пэ-Пэ-Ноль.
ну а дальше же напсано все как положено ppp+ ;)