форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение		[ Отслеживать ]

"iptables & банк клиент"	+/–
Сообщение от alexcandr (ok) on 28-Июл-11, 16:05
Всем привет, возникла очередная проблема с iptables...Нужно подружить локальную машину с БК,, что имеем, Centos с 2 интерфейсами eth0 - 1.1.1.1 смотрит в мир eth1 -192.9.100.254 - в локалку ip банк-клиента 213.195.86.9 есть клиент 192.9.100.55 на ней стоит банк-клиент СПБ, естественно коннекта с банком нет, в руководстве БК написано что должно быть прямое соединение с 213,195,86,9 по 1024 порту,,, Ну вроде понятно все, нужно пробросить пакеты приходящие на eth0 с IP 213.195.86.9 на 1024 порт на локальный комп 192,9,100,55 и обратно Что я сделал Открываю порт на eth0 и перекидываю пакеты на локальную машину $ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT $ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J DNAT --to-destination 213.195.86.9:1024 $ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport 1024 -j ACCEPT Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял, тишина пакеты не идут ни от меня ни ко мне))) Народ помогите решить проблему Заранее всем спасибо!!!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables & банк клиент"	+/–
Сообщение от HanTengry (ok) on 28-Июл-11, 16:47
>[оверквотинг удален] > Открываю порт на eth0 и перекидываю пакеты на локальную машину > $ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT > $ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J > DNAT --to-destination 213.195.86.9:1024 > $ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport > 1024 -j ACCEPT > Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял, > тишина пакеты не идут ни от меня ни ко мне))) > Народ помогите решить проблему > Заранее всем спасибо!!! http://www.nixp.ru/forum/%D0%9E%D0%B1�... если ссылка не работает на бери в гугле: "nixp.ru Вход из интернета в компьютер локальной сети" правда читать там много, но ответ найти можно.. В общем-то у меня работало что то типа этого: ___________________________________________________ *filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d $INT_IP -i $EXT_IFACE -m state --state NEW -p tcp -m tcp --dport $INT_PORT -j ACCEPT *nat -A PREROUTING -i $EXT_IFACE -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT -A POSTROUTING -s $INT_IP -o $EXT_IFACE -j SNAT --to-source $EXT_IP где $EXT_IP - внешний IP-адрес "фаервола" (в твоём случае: 212.155.155.58); $INT_IP - IP-адрес внутреннего ресурса (к которому требуется организовать доступ); $EXT_PORT - значение порта, на который будут обращаться пользователи из Интернет; $INT_PORT - значение порта, который слушает внутренний ресурс и накоторый будут перенаправляться запросы из Интернет; $EXT_IFACE - имя внешнего сетевого интерфейса (тот, на котором задан IP-адрес 212.155.155.58). _______________________________ плюс эти корректировки: ____________________________ Если заморачиваться с алиасом, то в моём примере немного изменится правило для цепочки PREROUTING (там надо будет явно указать адрес назначения '-d 212.155.155.58' и убрать упоминание об имени внешнего интерфейса $EXT_IFACE) и цепочке POSTORUTING (убрать упоминание об имени внешнего интерфейса $EXT_IFACE). _____________________________
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "iptables & банк клиент"	+/–
	Сообщение от alexcandr (ok) on 28-Июл-11, 16:50
	> если ссылка не работает на бери в гугле: "nixp.ru Вход из интернета > в компьютер локальной сети" > правда читать там много, но ответ найти можно.. спс сча изучу...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "iptables & банк клиент"	+/–
	Сообщение от artemrts (ok) on 12-Авг-11, 22:36
	>[оверквотинг удален] > -A PREROUTING -i $EXT_IFACE -p tcp -m tcp --dport $EXT_PORT -j DNAT > --to-destination $INT_IP:$INT_PORT > -A POSTROUTING -s $INT_IP -o $EXT_IFACE -j SNAT --to-source $EXT_IP > где > $EXT_IP - внешний IP-адрес "фаервола" (в твоём случае: 212.155.155.58); > $INT_IP - IP-адрес внутреннего ресурса (к которому требуется организовать доступ); > $EXT_PORT - значение порта, на который будут обращаться пользователи из Интернет; > $INT_PORT - значение порта, который слушает внутренний ресурс и накоторый будут перенаправляться > запросы из Интернет; > $EXT_IFACE - имя внешнего сетевого интерфейса (тот, на котором задан IP-адрес 212.155.155.58). Я ни в коем случае не хочу разводить демагогию *BSD vs Linux, тут на днях и так развели, что у меня чуть ящик не забился))), но какой ужос этот айпитаблес. Всмысле его синтаксис. Как же все просто и, да!, красиво в PF да и, пожалуй в любом другом BSD-шном фаерволе.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables & банк клиент"	+/–
Сообщение от daloman (ok) on 28-Июл-11, 16:59
>[оверквотинг удален] > Открываю порт на eth0 и перекидываю пакеты на локальную машину > $ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT > $ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J > DNAT --to-destination 213.195.86.9:1024 > $ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport > 1024 -j ACCEPT > Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял, > тишина пакеты не идут ни от меня ни ко мне))) > Народ помогите решить проблему > Заранее всем спасибо!!! О! Полезнейшая вещь!! http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "iptables & банк клиент"	+/–
	Сообщение от alexcandr (ok) on 02-Авг-11, 13:54
	Сделал следующие, эти правила работают, может кому-нибудь пригодятся,,, Правда слишком много понаписал я)))) где eth0 - смотрит в мир eth1 - смотрит в локалку 217.195.86.9 ip банка 213.172.3.19 ip банка 192.9.100.12 ip клиента, на котором стоит банк клиент $ipt -A INPUT -i $EXTIF -p tcp --dport 1024 -j ACCEPT $ipt -t nat -A PREROUTING -p tcp -d eth1 --dport 1024 -j DNAT --to-destination 217.195.86.9:1024 $ipt -t nat -A PREROUTING -p tcp -d eth1  --dport 1024 -j DNAT --to-destination 213.172.3.19:1024 $ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 217.195.86.9 --dport 1024 -j ACCEPT $ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 213.172.3.19 --dport 1024 -j ACCEPT $ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $EXTIF -j SNAT --to внешний IP
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "iptables & банк клиент"	+/–
	Сообщение от HanTengry (ok) on 12-Авг-11, 06:43
	>[оверквотинг удален] > $ipt -t nat -A PREROUTING -p tcp -d eth1 --dport 1024 -j > DNAT --to-destination 217.195.86.9:1024 > $ipt -t nat -A PREROUTING -p tcp -d eth1  --dport 1024 > -j DNAT --to-destination 213.172.3.19:1024 > $ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 217.195.86.9 --dport > 1024 -j ACCEPT > $ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 213.172.3.19 --dport > 1024 -j ACCEPT > $ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $EXTIF -j SNAT --to > внешний IP Неужели банк-клиент ограничен одним ip? На ноутбуки не ставите что ли? Мда.. подход правильный :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "iptables & банк клиент"	+/–
Сообщение от ALex_hha (ok) on 14-Авг-11, 13:19
> Я ни в коем случае не хочу разводить демагогию *BSD vs Linux, тут на днях и так развели, что у меня чуть ящик не забился))), но какой ужос этот айпитаблес. Всмысле его синтаксис. Как же все просто и, да!, красиво в PF да и, пожалуй в любом другом BSD-шном фаерволе. привыкнуть надо, а меня наоборот тошнит от ipfw. pf особо не изучал, только в общих целях
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема