https://slinkov.ru/openforum/vsluhforumID1/90539.html Привет всем!<br><br>Имеется такая конфигурация сети<br><br>{ локальная сеть } { шлюз } { иная сеть } <br>{ 192.168.2.0 }----{ -----eth2-- 192.168.2.1 -eth1-- }-----{ 101.10.10.0 }<br>--------+---------<br> &#124;<br>{ 192.168.2.2:8080 }--компьютер на котором установлен calibre-server<br><br>в данный момент компьютеры сетти 192... имеют доступ и к иной сети и к<br>серверу calibrе; компьютеры из иной сети имеют доступ только к веб-серверу на<br>шлюзе (обращаются к нему по адресу 101.10.10.1) и не имеют доступа к <br>192.168.2.2:8080<br><br>Вопрос: как сделать доступ компьютерам из иной сети к 192.168.2.2:8080?<br><br><br>сейчас iptables на шлюзе<br>***************************************<br># Firewall configuration written by system-config-firewall<br># Manual customization of this file is not recommended.<br>*nat<br>:PREROUTING ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>:POSTROUTING ACCEPT [0:0]<br>-A POSTROUTING -o eth2 -j MASQUERADE<br>COMMIT<br>*filter<br>:INPUT ACCEPT [0:0]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [0: https://slinkov.ru/openforum/vsluhforumID1/90539.html#39 Thu, 13 Jan 2011 11:11:18 GMT &gt;&gt; я о том нужен ли дополнительный контроль, кеширование, ...<br>&gt;&gt; если нет, то хватит и DNAT <br>&gt;&gt; проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и <br>&gt;&gt; поймете <br>&gt; дополнительный контроль, кеширование, не нужны <br>&gt; а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101, <br>&gt; а он не знает что этот адрес за NAT 101.8.9.8, ищет <br>&gt; по стандартному маршруту и не находит <br><br>потому что 192.168.2.101 это серый адрес и обращаться по нему в инет бессмысленно, поэтому редирект должен быть на ваш белый ip, а с него проброс на 192.168.2.101, но для локалки по другому<br><br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#38 Thu, 13 Jan 2011 11:04:08 GMT &gt; я о том нужен ли дополнительный контроль, кеширование, ...<br>&gt; если нет, то хватит и DNAT <br>&gt; проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и <br>&gt; поймете <br><br>дополнительный контроль, кеширование, не нужны<br><br>а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101, а он не знает что этот адрес за NAT 101.8.9.8, ищет по стандартному маршруту и не находит<br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#37 Thu, 13 Jan 2011 10:38:39 GMT &gt;&gt;&gt;&gt; в сторону что такое белые и серые адреса <br>&gt;&gt;&gt; нагуглил кое-что, вопрос - без прокси не обойтись?<br>&gt;&gt; зависит от того что нужно, можно через DNAT <br>&gt; нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080 <br><br>я о том нужен ли дополнительный контроль, кеширование, ...<br><br>если нет, то хватит и DNAT<br><br>проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и поймете<br><br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#36 Thu, 13 Jan 2011 10:10:04 GMT &gt;&gt;&gt; в сторону что такое белые и серые адреса <br>&gt;&gt; нагуглил кое-что, вопрос - без прокси не обойтись?<br>&gt; зависит от того что нужно, можно через DNAT <br><br>нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080<br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#35 Thu, 13 Jan 2011 09:52:27 GMT &gt;&gt; в сторону что такое белые и серые адреса <br>&gt; нагуглил кое-что, вопрос - без прокси не обойтись?<br><br>зависит от того что нужно, можно через DNAT<br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#34 Thu, 13 Jan 2011 09:40:40 GMT &gt; в сторону что такое белые и серые адреса <br><br>нагуглил кое-что, вопрос - без прокси не обойтись? <br><br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#33 Thu, 13 Jan 2011 09:24:29 GMT &gt;[оверквотинг удален]<br>&gt; target prot opt source <br>&gt; destination <br>&gt; _____________________________ <br>&gt; Теперь вопрос.<br>&gt; На 101.8.9.8 работает сайт на httpd.<br>&gt; Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080 <br>&gt; пишу в .htaccess <br>&gt; redirect /bib http://192.168.2.101:8080 <br>&gt; Юзеры из локалки 192.168.2.0 редиректятся, а из внешней сети - нет. <br>&gt; Помогите в какую сторону рыть. Спасибо <br><br>в сторону что такое белые и серые адреса<br> https://slinkov.ru/openforum/vsluhforumID1/90539.html#32 Thu, 13 Jan 2011 09:12:39 GMT Всех поздравляю с Щедрым вечером!<br><br>В продолжении темы.<br>Я всетаки смог пробросить порт, но затея, для чего все предпринималось так и не реализована, конечно виной тому праздники, так как я просто забил, но всеже хотелось бы продолжить.<br><br>Имеем - пакеты из внешней сети могут теперь передаваться на 1 комп локалки<br>____________________________<br><br>[root@server ~]# iptables -t nat -nx -L PREROUTING<br>Chain PREROUTING (policy ACCEPT)<br>target prot opt source destination <br>DNAT tcp -- 0.0.0.0/0 101.8.9.8 tcp dpt:8080 to:192.168.2.101:8080 <br>_____________________________<br><br>[root@server ~]# iptables -t nat -L<br>Chain PREROUTING (policy ACCEPT)<br>target prot opt source destination <br>DNAT tcp -- anywhere 101.8.9.8 tcp dpt:webcache to:192.168.2.101:8080 <br><br>Chain POSTROUTING (policy ACCEPT)<br>target prot opt source destination <br>MASQUERADE all -- anywhere https://slinkov.ru/openforum/vsluhforumID1/90539.html#31 Tue, 28 Dec 2010 10:23:24 GMT &gt;[оверквотинг удален]<br>&gt; -A INPUT -p icmp -j DROP --fragment <br>&gt; -A OUTPUT -p icmp -j DROP --fragment <br>&gt; -A INPUT -p icmp -m icmp -i eth2 --icmp-type source-quench -j ACCEPT <br>&gt; -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type source-quench -j ACCEPT <br>&gt; -A INPUT -p icmp -m icmp -i eth2 --icmp-type echo-reply -j ACCEPT <br>&gt; -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type echo-request -j ACCEPT <br>&gt; -A INPUT -p icmp -m icmp -i eth2 --icmp-type parameter-problem -j ACCEPT <br>&gt; -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type parameter-problem -j ACCEPT <br>&gt; -A INPUT -p tcp -m tcp -i eth2 --dport 6000:6063 -j DROP <br>&gt; --syn <br><br>это не много правил и особой нагрузки не создаст. по мере понимания работы сети и посматривания на счетчики правил увидите какие правила лишние.<br>