форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Проблемы с DNAT"

Сообщение от Semjon (ok) on 13-Ноя-06, 22:19

Здравствуйте, Всем! Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. Подскажите, в чем может быть проблема - настраиваию DNAT для переброски портов на компьтеры в локальной сети для работы с directconnect`ом (конкретно StrongDC), делаю это следующим образом: IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j / DNAT --to-destination $comp1_IP IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j / DNAT --to-destination $comp2_IP IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j / DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. FORWARD тоже разрешен. Проблема в том, что работает это все только на одной машине в сети (и только на ней, даже если менять айпишники и порты на других тачках на айпи и порт той, которая работает, все равно не пашет). В ip_conntrack пишет, что соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware 10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). Что посоветуют уважаемые Гуру? ----- With Best Regards!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблемы с DNAT"

Сообщение от Semjon (??) on 15-Ноя-06, 10:38

>Здравствуйте, Всем! > >Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. > >Подскажите, в чем может быть проблема - настраиваию DNAT для переброски >портов на компьтеры в локальной сети для работы с directconnect`ом >(конкретно StrongDC), делаю это следующим образом: > >IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j >/ >DNAT --to-destination $comp1_IP > >IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j >/ >DNAT --to-destination $comp2_IP > >IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j >/ >DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. > >FORWARD тоже разрешен. > >Проблема в том, что работает это все только на одной машине в >сети (и только >на ней, даже если менять айпишники и порты на других тачках на >айпи и порт >той, которая работает, все равно не пашет). В ip_conntrack пишет, что >соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). > >Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware >10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). > >Что посоветуют уважаемые Гуру? > >----- > >With Best Regards! Ну что, никто не может помочь мне, в какую сторону хоть копать-то???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблемы с DNAT"

Сообщение от vozd on 17-Ноя-06, 16:35

>Здравствуйте, Всем! > >Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. > >Подскажите, в чем может быть проблема - настраиваию DNAT для переброски >портов на компьтеры в локальной сети для работы с directconnect`ом >(конкретно StrongDC), делаю это следующим образом: > >IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j >/ >DNAT --to-destination $comp1_IP > >IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j >/ >DNAT --to-destination $comp2_IP > >IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j >/ >DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. > >FORWARD тоже разрешен. > >Проблема в том, что работает это все только на одной машине в >сети (и только >на ней, даже если менять айпишники и порты на других тачках на >айпи и порт >той, которая работает, все равно не пашет). В ip_conntrack пишет, что >соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). > >Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware >10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). > >Что посоветуют уважаемые Гуру? > >----- > >With Best Regards! Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, а от тебя SNAT --sport 1100 и так же другие считаешь не нужно прописать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Проблемы с DNAT"
	Сообщение от perece on 17-Ноя-06, 18:12
	>>Здравствуйте, Всем! >> >>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. >> >>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски >>портов на компьтеры в локальной сети для работы с directconnect`ом >>(конкретно StrongDC), делаю это следующим образом: >> >>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j >>/ >>DNAT --to-destination $comp1_IP >> >>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j >>/ >>DNAT --to-destination $comp2_IP >> >>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j >>/ >>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. >> >>FORWARD тоже разрешен. >> >>Проблема в том, что работает это все только на одной машине в >>сети (и только >>на ней, даже если менять айпишники и порты на других тачках на >>айпи и порт >>той, которая работает, все равно не пашет). В ip_conntrack пишет, что >>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). >> >>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware >>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). >> >>Что посоветуют уважаемые Гуру? >> >>----- >> >>With Best Regards! > > >Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, >а от тебя SNAT --sport 1100 и так же другие считаешь >не нужно прописать? ну что за чушь однако... во первых, а надо ли этому протоколу вообще встречные соединения устанавливать? или вы не в курсе, что для таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно /proc/net/ip_conntrack)? во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle as little as possible". это значит, что если для "исходящих" прописан хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять же если src port важен протоколу) src port будет сохраняться у всех исходящих. а значит должны работать все. кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований \^P^/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Проблемы с DNAT"
	Сообщение от Semjon (??) on 13-Дек-06, 01:48
	>>>Здравствуйте, Всем! >>> >>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. >>> >>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски >>>портов на компьтеры в локальной сети для работы с directconnect`ом >>>(конкретно StrongDC), делаю это следующим образом: >>> >>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j >>>/ >>>DNAT --to-destination $comp1_IP >>> >>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j >>>/ >>>DNAT --to-destination $comp2_IP >>> >>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j >>>/ >>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. >>> >>>FORWARD тоже разрешен. >>> >>>Проблема в том, что работает это все только на одной машине в >>>сети (и только >>>на ней, даже если менять айпишники и порты на других тачках на >>>айпи и порт >>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что >>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). >>> >>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware >>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). >>> >>>Что посоветуют уважаемые Гуру? >>> >>>----- >>> >>>With Best Regards! >> >> >>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, >>а от тебя SNAT --sport 1100 и так же другие считаешь >>не нужно прописать? >ну что за чушь однако... во первых, а надо ли этому протоколу >вообще встречные соединения устанавливать? или вы не в курсе, что для >таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются >автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно >/proc/net/ip_conntrack)? >во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle >as little as possible". это значит, что если для "исходящих" прописан >хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять >же если src port важен протоколу) src port будет сохраняться у >всех исходящих. а значит должны работать все. >кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень >сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований > >\^P^/ Может уважаемый Гуру подскажет как это можно исправить? Есть ли другие способы для форвардинга соединений, кроме DNAT`а?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Проблемы с DNAT"
	Сообщение от Bogus (??) on 23-Янв-08, 23:53
	>[оверквотинг удален] >>хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять >>же если src port важен протоколу) src port будет сохраняться у >>всех исходящих. а значит должны работать все. >>кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень >>сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований >> >>\^P^/ > >Может уважаемый Гуру подскажет как это можно исправить? >Есть ли другие способы для форвардинга соединений, кроме DNAT`а? на сколько мне известно для StrongDC нужно еще и udp порты(основой протокол передачи данных) Если получилось скиньте конфиг )))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]