форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"iptables nat"

Сообщение от alligatorus (??) on 06-Ноя-08, 14:09

Здравствуйте У меня такая проблема Есть шлюз, старенький P2 на нем стоит Debian Etch. Есть длокальная сеть, на одной из машин локальной сети стоит VmWare на ней стоит вряха и там веб сервер. На шлюзе я пробросил все порты, все настроил с миру с легкостью можно достучаться до всех сервисов виртуалки. Но вот когда я запрашиваю из локльной сети сайт например, то не могу до него достучаться, тоесть какбы шлюз не натит меня на виртуалку. Я думаю проблема в неправильной настройке iptables, я в нем не очень силен. Вот конфиг iptables, свой ip адрес я заменил на 123.456.78.9 # Generated by iptables-save v1.3.6 on Thu Nov  6 17:15:23 2008 *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -i dsl-provider -j ACCEPT -A FORWARD -p tcp -m tcp -m state -d 192.168.0.2 --state NEW,ESTABLISHED,RELATED -j ACCEPT COMMIT # Completed on Thu Nov  6 17:15:23 2008 # Generated by iptables-save v1.3.6 on Thu Nov  6 17:15:23 2008 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp -s 192.168.0.0/255.255.0.0 ! -d 192.168.0.0/255.255.0.0 --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -p tcp -m tcp -d 123.456.78.9 --dport 80 -j DNAT --to-destination 192.168.0.2:80 -A POSTROUTING -o ppp0 -j MASQUERADE -A PREROUTING -p tcp -m tcp -d 123.456.78.9 --dport 21 -j DNAT --to-destination 192.168.0.2:21 -A PREROUTING -p tcp -m tcp -d 123.456.78.9 --dport 20 -j DNAT --to-destination 192.168.0.2:20 -A PREROUTING -p tcp -m tcp -d 123.456.78.9 --dport 50000:60000 -j DNAT --to-destination 192.168.0.2:50000-60000 -A PREROUTING -p tcp -m tcp -d 123.456.78.9 --dport 20000 -j DNAT --to-destination 192.168.0.2:20000 COMMIT # Completed on Thu Nov  6 17:15:23 2008 # Generated by iptables-save v1.3.6 on Thu Nov  6 17:15:23 2008 *mangle :PREROUTING ACCEPT [29397:20173692] :INPUT ACCEPT [3143:361151] :FORWARD ACCEPT [26236:19810338] :OUTPUT ACCEPT [3125:453453] :POSTROUTING ACCEPT [29358:20263563] -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu COMMIT # Completed on Thu Nov  6 17:15:23 2008 пожалуйста подскажите что делать

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables nat"

Сообщение от suslic (??) on 06-Ноя-08, 21:04

наскоко я понял внешний адрес на ррр интерфейсе - статический адрес 123.456.78.9 и Ваш сервер на 192.168.0.2 если из 192.168.0.2 надо видеть мир то попробуйте -A POSTROUTING -s 192.168.0.2/255.255.255.0 -j MASQUERADE не забываем echo "1" > /proc/sys/net/ipv4/ip_forward

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "iptables nat"
	Сообщение от alligatorus (ok) on 07-Ноя-08, 07:23
	>наскоко я понял внешний адрес на ррр интерфейсе - статический адрес 123.456.78.9 > >и Ваш сервер на 192.168.0.2 >если из 192.168.0.2 надо видеть мир то попробуйте > >-A POSTROUTING -s 192.168.0.2/255.255.255.0 -j MASQUERADE > >не забываем echo "1" > /proc/sys/net/ipv4/ip_forward Нет, нет не то он из мира виден и в мир он через нат ходить не может. НО вот когда я на своей локальной машине запрашиваю домен domain.ru, который указывает на мой внешний адрес 123,145,78,9, то запрос отрабатывается и мой браузер конечно же идет на этот IP, а iptables на шлюзе в такой ситуации не пробрасывает меня во внутрь в мою виртуалку. Тоесть объясню так: Порты проброшены внутрь локалки, с мира заходить можно. А вот делать петлю из локалки на внешний IP и обратно в локалку на виртуальную машину уже нельзя. А мне это и нужно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables nat"
	Сообщение от reader (ok) on 07-Ноя-08, 10:42
	>[оверквотинг удален] >он из мира виден и в мир он через нат ходить не >может. >НО вот когда я на своей локальной машине запрашиваю домен domain.ru, который >указывает на мой внешний адрес 123,145,78,9, то запрос отрабатывается и мой >браузер конечно же идет на этот IP, а iptables на шлюзе >в такой ситуации не пробрасывает меня во внутрь в мою виртуалку. >Тоесть объясню так: >Порты проброшены внутрь локалки, с мира заходить можно. А вот делать петлю >из локалки на внешний IP и обратно в локалку на виртуальную >машину уже нельзя. А мне это и нужно http://www.opennet.me/docs/RUS/iptables/#DNATTARGET если я правильно понял, там ниже таблички описывается то что вы хотите.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "iptables nat"
	Сообщение от alligatorus (ok) on 07-Ноя-08, 10:56
	спасибо Вам огромное, все оказалось очень просто, нужно было в цепочку OUTPUT добавить правило :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]