forum.opennet.ru - "Сложный проброс веб-трафика" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Сложный проброс веб-трафика"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Сложный проброс веб-трафика"
Сообщение от Oleg (??) on 04-Мрт-09, 11:06
Всем привет! С iptables дружу посредственно, отсюда вопрос: Есть внутренняя сетка 10.0.22.0/24. Есть linux-машина с двумя сетевыми: первая смотрит в свою сеть 10.0.22.100 (НЕ шлюз по умолчанию, и быть шлюзом не должен). Вторая смотрит в сеть 10.172.22.0/24. В сети 10.172.22. есть веб-сервера на 80 порту - 10.172.22.11 и 10.172.22.12. ВОПРОС: Как настроить iptables или что-то еще, чтобы при обращении из сети 10.0.22 к адресу 10.0.22.100:8000 открывался первый веб-сервер, а к адресу 10.0.22.100:8001 - второй веб-сервер.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Сложный проброс веб-трафика, mikra, 11:24 , 04-Мрт-09, (1)

Сложный проброс веб-трафика, Oleg, 11:45 , 04-Мрт-09, (2)

Сложный проброс веб-трафика, Mikhail, 12:25 , 04-Мрт-09, (3)

Сложный проброс веб-трафика, Oleg, 13:01 , 04-Мрт-09, (4)

Сложный проброс веб-трафика, angra, 20:52 , 04-Мрт-09, (6)

Сложный проброс веб-трафика, mikra, 14:30 , 04-Мрт-09, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Сложный проброс веб-трафика"

Сообщение от mikra on 04-Мрт-09, 11:24

>[оверквотинг удален]
>Есть внутренняя сетка 10.0.22.0/24. Есть linux-машина с двумя сетевыми: первая смотрит в
>свою сеть 10.0.22.100 (НЕ шлюз по умолчанию, и быть шлюзом не
>должен). Вторая смотрит в сеть 10.172.22.0/24.
>
>В сети 10.172.22. есть веб-сервера на 80 порту - 10.172.22.11 и 10.172.22.12.
>
>
>ВОПРОС: Как настроить iptables или что-то еще, чтобы при обращении из сети
>10.0.22 к адресу 10.0.22.100:8000 открывался первый веб-сервер, а к адресу 10.0.22.100:8001
>- второй веб-сервер.
На интерфейсе 10.0.22.100 надо сделать NAT для пакетов, идущих от 10.172.22.11 и 10.172.22.12. А потом добавить форвард пакетов, приходящих из сети 10.0.22.0/24 на 10.0.22.100.
10.0.22.100:8000 -> 10.172.22.11:80
10.0.22.100:8001 -> 10.172.22.12:80

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сложный проброс веб-трафика"

Сообщение от Oleg (??) on 04-Мрт-09, 11:45

>На интерфейсе 10.0.22.100 надо сделать NAT для пакетов, идущих от 10.172.22.11 и
>10.172.22.12. А потом добавить форвард пакетов, приходящих из сети 10.0.22.0/24 на
>10.0.22.100.
>10.0.22.100:8000 -> 10.172.22.11:80
>10.0.22.100:8001 -> 10.172.22.12:80
Делаю так (для одной из машин) - не работает...
iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j DNAT --to-destination 10.172.22.11:80
iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сложный проброс веб-трафика"

Сообщение от Mikhail (??) on 04-Мрт-09, 12:25

>[оверквотинг удален]
>>10.0.22.100.
>>10.0.22.100:8000 -> 10.172.22.11:80
>>10.0.22.100:8001 -> 10.172.22.12:80
>
>Делаю так (для одной из машин) - не работает...
>
>iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j
>DNAT --to-destination 10.172.22.11:80
>iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j
>ACCEPT
ещё цепочку SNAT добавь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Сложный проброс веб-трафика"

Сообщение от Oleg (??) on 04-Мрт-09, 13:01

>[оверквотинг удален]
>>>10.0.22.100:8001 -> 10.172.22.12:80
>>
>>Делаю так (для одной из машин) - не работает...
>>
>>iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j
>>DNAT --to-destination 10.172.22.11:80
>>iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j
>>ACCEPT
>
>ещё цепочку SNAT добавь
А можно поподробнее что писать в SNAT?
p.s. Забыл указать, адрес на eth1 указан 10.172.22.20

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Сложный проброс веб-трафика"

Сообщение от angra (ok) on 04-Мрт-09, 20:52

>>>iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j
>>>DNAT --to-destination 10.172.22.11:80
В результате на машину 10.172.22.11 придет пакет с обратным адресом из сети 10.0.22. Внимание вопрос, куда и как по вашему 10.172.22.11 пошлет ответ?
>>>iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j
>>>ACCEPT
>p.s. Забыл указать, адрес на eth1 указан 10.172.22.20
Ну тут вообще весело, правило сработает для пакета _приходящего_ из сети 10.172.22, и почему-то для 10.172.22.11, а не для вашей машины, кстати какой у нее там адрес в этой сети?
>А можно поподробнее что писать в SNAT?
Ну ту разные варианты есть, например так
iptables -t nat -A POSTROUTING -p tcp -d 10.172.22.11 --dport 8000 -j SNAT --to-source ваш_ip_в_сети_10.172.22

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Сложный проброс веб-трафика"

Сообщение от mikra on 04-Мрт-09, 14:30

>>На интерфейсе 10.0.22.100 надо сделать NAT для пакетов, идущих от 10.172.22.11 и
>>10.172.22.12. А потом добавить форвард пакетов, приходящих из сети 10.0.22.0/24 на
>>10.0.22.100.
>>10.0.22.100:8000 -> 10.172.22.11:80
>>10.0.22.100:8001 -> 10.172.22.12:80
>
>Делаю так (для одной из машин) - не работает...
Файрвол надо крутить на компе 10.0.22.100

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Сложный проброс веб-трафика"
Сообщение от mikra on 04-Мрт-09, 11:24
>[оверквотинг удален] >Есть внутренняя сетка 10.0.22.0/24. Есть linux-машина с двумя сетевыми: первая смотрит в >свою сеть 10.0.22.100 (НЕ шлюз по умолчанию, и быть шлюзом не >должен). Вторая смотрит в сеть 10.172.22.0/24. > >В сети 10.172.22. есть веб-сервера на 80 порту - 10.172.22.11 и 10.172.22.12. > > >ВОПРОС: Как настроить iptables или что-то еще, чтобы при обращении из сети >10.0.22 к адресу 10.0.22.100:8000 открывался первый веб-сервер, а к адресу 10.0.22.100:8001 >- второй веб-сервер. На интерфейсе 10.0.22.100 надо сделать NAT для пакетов, идущих от 10.172.22.11 и 10.172.22.12. А потом добавить форвард пакетов, приходящих из сети 10.0.22.0/24 на 10.0.22.100. 10.0.22.100:8000 -> 10.172.22.11:80 10.0.22.100:8001 -> 10.172.22.12:80
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Сложный проброс веб-трафика"
	Сообщение от Oleg (??) on 04-Мрт-09, 11:45
	>На интерфейсе 10.0.22.100 надо сделать NAT для пакетов, идущих от 10.172.22.11 и >10.172.22.12. А потом добавить форвард пакетов, приходящих из сети 10.0.22.0/24 на >10.0.22.100. >10.0.22.100:8000 -> 10.172.22.11:80 >10.0.22.100:8001 -> 10.172.22.12:80 Делаю так (для одной из машин) - не работает... iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j DNAT --to-destination 10.172.22.11:80 iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j ACCEPT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Сложный проброс веб-трафика"
	Сообщение от Mikhail (??) on 04-Мрт-09, 12:25
	>[оверквотинг удален] >>10.0.22.100. >>10.0.22.100:8000 -> 10.172.22.11:80 >>10.0.22.100:8001 -> 10.172.22.12:80 > >Делаю так (для одной из машин) - не работает... > >iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j >DNAT --to-destination 10.172.22.11:80 >iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j >ACCEPT ещё цепочку SNAT добавь
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Сложный проброс веб-трафика"
	Сообщение от Oleg (??) on 04-Мрт-09, 13:01
	>[оверквотинг удален] >>>10.0.22.100:8001 -> 10.172.22.12:80 >> >>Делаю так (для одной из машин) - не работает... >> >>iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j >>DNAT --to-destination 10.172.22.11:80 >>iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j >>ACCEPT > >ещё цепочку SNAT добавь А можно поподробнее что писать в SNAT? p.s. Забыл указать, адрес на eth1 указан 10.172.22.20
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Сложный проброс веб-трафика"
	Сообщение от angra (ok) on 04-Мрт-09, 20:52
	>>>iptables -t nat -A PREROUTING -p tcp -d 10.0.22.100 --dport 8000 -j >>>DNAT --to-destination 10.172.22.11:80 В результате на машину 10.172.22.11 придет пакет с обратным адресом из сети 10.0.22. Внимание вопрос, куда и как по вашему 10.172.22.11 пошлет ответ? >>>iptables -A FORWARD -i eth1 -d 10.172.22.11 -p tcp --dport 8000 -j >>>ACCEPT >p.s. Забыл указать, адрес на eth1 указан 10.172.22.20 Ну тут вообще весело, правило сработает для пакета _приходящего_ из сети 10.172.22, и почему-то для 10.172.22.11, а не для вашей машины, кстати какой у нее там адрес в этой сети? >А можно поподробнее что писать в SNAT? Ну ту разные варианты есть, например так iptables -t nat -A POSTROUTING -p tcp -d 10.172.22.11 --dport 8000 -j SNAT --to-source ваш_ip_в_сети_10.172.22
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Сложный проброс веб-трафика"
	Сообщение от mikra on 04-Мрт-09, 14:30
	>>На интерфейсе 10.0.22.100 надо сделать NAT для пакетов, идущих от 10.172.22.11 и >>10.172.22.12. А потом добавить форвард пакетов, приходящих из сети 10.0.22.0/24 на >>10.0.22.100. >>10.0.22.100:8000 -> 10.172.22.11:80 >>10.0.22.100:8001 -> 10.172.22.12:80 > >Делаю так (для одной из машин) - не работает... Файрвол надо крутить на компе 10.0.22.100
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]