The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемка c маскарадингом и доступом к локальному веб серверу"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT)
Изначальное сообщение [ Отслеживать ]

"Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от core (ok) on 16-Авг-11, 19:23 
есть шлюз на шлюзе 8 сетевых адаптеров из которых задействовано 4
eth0 - один внешний айпишник 1.1.1.1
eth1 - второй внешний айпиншик от того же провайдера но из другой подсети 2.2.2.2
eth4 - внутренняя сеть 192.168.0.1
eth5 - внутренняя сеть 192.168.1.1
Инет раздается следующим образом
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
И вроди даже все работает но
на шлюзе стоит апач на котором крутится веб интерфейс на этот веб интерфейс снаружи я могу попасть как по http://1.1.1.1 так и по http://2.2.2.2 изнутри по http://192.168.0.1 и http://192.168.1.1 и по http://1.1.1.1 но по http://2.2.2.2 не пускает - Время ожидания ответа от сервера 2.2.2.2 истекло. Почему так? чего нехватает? Есть подозрения что это связано с маскарадингом. Буду благодарен если кто сталкивался.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от reader (ok) on 16-Авг-11, 21:08 
>[оверквотинг удален]
> eth5 - внутренняя сеть 192.168.1.1
> Инет раздается следующим образом
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> И вроди даже все работает но
> на шлюзе стоит апач на котором крутится веб интерфейс на этот веб
> интерфейс снаружи я могу попасть как по http://1.1.1.1 так и по
> http://2.2.2.2 изнутри по http://192.168.0.1 и http://192.168.1.1 и по http://1.1.1.1
> но по http://2.2.2.2 не пускает - Время ожидания ответа от сервера
> 2.2.2.2 истекло. Почему так? чего нехватает? Есть подозрения что это связано
> с маскарадингом. Буду благодарен если кто сталкивался.

вы серьезно полагаете что ответы в локалку идут через eth1?
tcpdump на этом интерфейсе смотрели?
может iptables-save покажите?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от core (ok) on 16-Авг-11, 22:10 
>[оверквотинг удален]
>> И вроди даже все работает но
>> на шлюзе стоит апач на котором крутится веб интерфейс на этот веб
>> интерфейс снаружи я могу попасть как по http://1.1.1.1 так и по
>> http://2.2.2.2 изнутри по http://192.168.0.1 и http://192.168.1.1 и по http://1.1.1.1
>> но по http://2.2.2.2 не пускает - Время ожидания ответа от сервера
>> 2.2.2.2 истекло. Почему так? чего нехватает? Есть подозрения что это связано
>> с маскарадингом. Буду благодарен если кто сталкивался.
> вы серьезно полагаете что ответы в локалку идут через eth1?
> tcpdump на этом интерфейсе смотрели?
> может iptables-save покажите?

Покажем
/root$ cat /etc/iptables.up.rules
# Generated by iptables-save v1.3.5 on Wed Aug 17 00:13:54 2011
*mangle
:PREROUTING ACCEPT [448782291:294068638284]
:INPUT ACCEPT [27751857:4157749799]
:FORWARD ACCEPT [420785869:289888755187]
:OUTPUT ACCEPT [49849918:12531612006]
:POSTROUTING ACCEPT [470635661:302420353882]
COMMIT
# Completed on Wed Aug 17 00:13:54 2011
# Generated by iptables-save v1.3.5 on Wed Aug 17 00:13:54 2011
*filter
:INPUT ACCEPT [27751863:4157750063]
:FORWARD ACCEPT [420785869:289888755187]
:OUTPUT ACCEPT [49853454:12531944901]
COMMIT
# Completed on Wed Aug 17 00:13:54 2011
# Generated by iptables-save v1.3.5 on Wed Aug 17 00:13:54 2011
*nat
:PREROUTING ACCEPT [13942707:1032726655]
:POSTROUTING ACCEPT [8718049:392315288]
:OUTPUT ACCEPT [291200:17955240]
-A PREROUTING -s 212.109.50.226 -d 91.197.49.170 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
-A PREROUTING -s 95.133.47.76 -d 91.197.49.170 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
-A PREROUTING -s 80.91.187.254 -d 91.197.48.90 -p tcp -m tcp --dport 232 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 80.91.187.254 -d 91.197.48.90 -p tcp -m tcp --dport 233 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 207.232.22.13 -d 91.197.48.90 -p tcp -m tcp --dport 232 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 207.232.22.13 -d 91.197.48.90 -p tcp -m tcp --dport 233 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 81.23.20.2 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.22.244 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.65 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.66 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.67 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.68 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.69 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.70 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.0.11:5000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.0.11:5001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5200 -j DNAT --to-destination 192.168.0.11:5200
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6000 -j DNAT --to-destination 192.168.0.11:6000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6001 -j DNAT --to-destination 192.168.0.11:6001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 3388 -j DNAT --to-destination 192.168.0.11:3389
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.11:80
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.0.11:81
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7000 -j DNAT --to-destination 192.168.0.14:5000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7001 -j DNAT --to-destination 192.168.0.14:5001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7080 -j DNAT --to-destination 192.168.0.14:80
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7081 -j DNAT --to-destination 192.168.0.14:81
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.0.14:6000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 9001 -j DNAT --to-destination 192.168.0.14:6001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 1010 -j DNAT --to-destination 192.168.1.238:1010
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT --to-destination 192.168.1.81:80
-A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT --to-destination 91.197.49.171:3389
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Aug 17 00:13:54 2011

В нулевую сеть я так понимаю пакеты идут с eth4 а в первую с eth5 , да и с чего вы это взяли?)
tcpdumр не делал

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от reader (ok) on 16-Авг-11, 22:18 
>[оверквотинг удален]
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5200 -j DNAT
> --to-destination 192.168.0.11:5200
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6000 -j DNAT
> --to-destination 192.168.0.11:6000
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6001 -j DNAT
> --to-destination 192.168.0.11:6001
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 3388 -j DNAT
> --to-destination 192.168.0.11:3389
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 80 -j DNAT
> --to-destination 192.168.0.11:80

2.2.2.2 - это наверно 91.197.48.90, а проверяете из 192.168.0.0 подсети

>[оверквотинг удален]
> --to-destination 192.168.1.238:1010
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT
> --to-destination 192.168.1.81:80
> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
> --to-destination 91.197.49.171:3389
> -A POSTROUTING -o eth1 -j MASQUERADE
> COMMIT
> # Completed on Wed Aug 17 00:13:54 2011
> В нулевую сеть я так понимаю пакеты идут с eth4 а в
> первую с eth5 , да и с чего вы это взяли?)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от core (ok) on 16-Авг-11, 22:22 
>[оверквотинг удален]
>> --to-destination 192.168.1.238:1010
>> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT
>> --to-destination 192.168.1.81:80
>> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
>> --to-destination 91.197.49.171:3389
>> -A POSTROUTING -o eth1 -j MASQUERADE
>> COMMIT
>> # Completed on Wed Aug 17 00:13:54 2011
>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>> первую с eth5 , да и с чего вы это взяли?)

так и делаю, ибо из первой все работает

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от reader (ok) on 16-Авг-11, 22:25 
>[оверквотинг удален]
>>> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT
>>> --to-destination 192.168.1.81:80
>>> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
>>> --to-destination 91.197.49.171:3389
>>> -A POSTROUTING -o eth1 -j MASQUERADE
>>> COMMIT
>>> # Completed on Wed Aug 17 00:13:54 2011
>>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>>> первую с eth5 , да и с чего вы это взяли?)
> так и делаю, ибо из первой все работает

тогда в этот раз читаете внимательней то что под табличкой
http://www.opennet.me/docs/RUS/iptables/#DNATTARGET

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от core (ok) on 17-Авг-11, 10:08 
>[оверквотинг удален]
>>>> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
>>>> --to-destination 91.197.49.171:3389
>>>> -A POSTROUTING -o eth1 -j MASQUERADE
>>>> COMMIT
>>>> # Completed on Wed Aug 17 00:13:54 2011
>>>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>>>> первую с eth5 , да и с чего вы это взяли?)
>> так и делаю, ибо из первой все работает
> тогда в этот раз читаете внимательней то что под табличкой
> http://www.opennet.me/docs/RUS/iptables/#DNATTARGET

Пойду почитаю

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Проблемка c маскарадингом и доступом к локальному веб серверу"  +/
Сообщение от core (ok) on 17-Авг-11, 11:52 
>[оверквотинг удален]
>>>>> --to-destination 91.197.49.171:3389
>>>>> -A POSTROUTING -o eth1 -j MASQUERADE
>>>>> COMMIT
>>>>> # Completed on Wed Aug 17 00:13:54 2011
>>>>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>>>>> первую с eth5 , да и с чего вы это взяли?)
>>> так и делаю, ибо из первой все работает
>> тогда в этот раз читаете внимательней то что под табличкой
>> http://www.opennet.me/docs/RUS/iptables/#DNATTARGET
> Пойду почитаю

Спасибо помогло.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру