The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Маскарадинг в iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Маскарадинг в iptables"  
Сообщение от Reskit email(??) on 10-Окт-08, 13:37 
Здраствуйте!

Задача такая: есть локальная сеть, выходит в инет через шлюз на iptables (NAT) (192.168.1.1). В этой сетке есть один веб-сервер (192.168.1.9), который должен принимать соединения из интернета как от шлюза (шлюз должен маскировать адреса клиентов из инета своим). Пытался сделать это так:

iptables -t NAT -A PREROUTING -d внешний_ip_шлюза -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.9

тогда адрес источника не меняется, сервак видит, что к нему обращаются из инета, добавил еще одно:

iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m tcp --dport 80 -j MASQUERADE

не работает. Такое ощущение, что не работает 2-е правило. Есть идеи?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Маскарадинг в iptables"  
Сообщение от Andrey Mitrofanov on 10-Окт-08, 14:19 
>[оверквотинг удален]
>принимать соединения из интернета как от шлюза
>(шлюз должен маскировать адреса клиентов из инета своим)
>iptables -t NAT -A PREROUTING -d внешний_ip_шлюза -p tcp -m tcp --dport
>80 -j DNAT --to-destination 192.168.1.9
>
>тогда адрес источника не меняется, сервак видит, что к нему обращаются из
>инета, добавил еще одно:
>
>iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m
>tcp --dport 80 -j MASQUERADE

-t nat -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -j SNAT --to-source 192.168.1.1

про "-p tcp -m tcp --dport 80" не знаю, может, тоже будет работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Маскарадинг в iptables"  
Сообщение от Reskit email(??) on 10-Окт-08, 15:09 
>[оверквотинг удален]
>>инета, добавил еще одно:
>>
>>iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m
>>tcp --dport 80 -j MASQUERADE
>
>-t nat -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -j SNAT --to-source 192.168.1.1
>
>
>про "-p tcp -m tcp --dport 80" не знаю, может, тоже будет
>работать.

не помогает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Маскарадинг в iptables"  
Сообщение от Oyyo on 11-Окт-08, 09:48 
>[оверквотинг удален]
>iptables -t NAT -A PREROUTING -d внешний_ip_шлюза -p tcp -m tcp --dport
>80 -j DNAT --to-destination 192.168.1.9
>
>тогда адрес источника не меняется, сервак видит, что к нему обращаются из
>инета, добавил еще одно:
>
>iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m
>tcp --dport 80 -j MASQUERADE
>
>не работает. Такое ощущение, что не работает 2-е правило. Есть идеи?

с чем связано ощущение? всё должно работать
конкретней про ощущения

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Маскарадинг в iptables"  
Сообщение от Reskit email(??) on 12-Окт-08, 18:27 
>[оверквотинг удален]
>>тогда адрес источника не меняется, сервак видит, что к нему обращаются из
>>инета, добавил еще одно:
>>
>>iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m
>>tcp --dport 80 -j MASQUERADE
>>
>>не работает. Такое ощущение, что не работает 2-е правило. Есть идеи?
>
> с чем связано ощущение? всё должно работать
>конкретней про ощущения

Сервак изнутри видит реальный IP, с которого к нему обращаются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Маскарадинг в iptables"  
Сообщение от sonkilla (ok) on 12-Окт-08, 21:45 
У меня работает вот так
iptables -t nat -A PREROUTING -p tcp -d внешний_ип_сервера --dport 80 -j DNAT --to-destination айпи_веб_сервера_в_локалке:80
И еще небуду умничать и выпендривоться но всеже прочитайте
http://www.opennet.me/docs/RUS/iptables/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Маскарадинг в iptables"  
Сообщение от reader (ok) on 12-Окт-08, 21:56 
>[оверквотинг удален]
>>>
>>>iptables -t NAT -A POSTROUTING -o внутренний_интерфейс -d 192.168.1.9 -p tcp -m
>>>tcp --dport 80 -j MASQUERADE
>>>
>>>не работает. Такое ощущение, что не работает 2-е правило. Есть идеи?
>>
>> с чем связано ощущение? всё должно работать
>>конкретней про ощущения
>
>Сервак изнутри видит реальный IP, с которого к нему обращаются.

tcpdump на внутреннем интерфейсе и ощущения станут более отчетливыми

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру