форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение		[ Отслеживать ]

"проблема с пробросом порта в iptables"	+/–
Сообщение от Gluek (ok) on 12-Фев-16, 14:55
Задача: есть за ВПНом машинка 192.168.1.10, она пускает на себя только однин айпишник из нашей сети 10.2.1.11 по адресу https://192.168.1.10:777/абракадабра необходимо, чтоб из любой машинки в нашей сети можно было попасть на ту машинку я поднял центось 7, с двумя сетевыми интерфейсами: ens18 10.2.1.11, ens19 10.1.1.12 с него я по пингу 192.168.1.10 и телнетом на порт 777 попадаю. теперь необходимо чтоб пользователь, вбивший в браузере https://10.1.1.12:777/абракадабра попал на https://192.168.1.10:777/абракадабра сервер только поднят, ничего не прописывалось, прописал правила iptables -A FORWARD -i ens18 -o ens19 -j ACCEPT iptables -A FORWARD -i ens19 -o ens18 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -d 10.2.1.11 -j MASQUERADE iptables -t nat -A PREROUTING -d 10.1.1.12/32 -p tcp -m tcp --dport 777 -j DNAT --to-destination 192.168.1.10:777 iptables -t nat -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport 777 -j SNAT --to-source 10.1.1.12 однако маршрут не прокидывается... когда стучусь на поднятый сервер со своей машины, нгреп обращения на порт фиксирует и выводит T 10.1.1.23:65375 -> 10.1.1.12:3443 [S] ................ есть у кого подсказка, что еще надо прописать и проверить, чтоб меня туда пропускало маскируя айпишник источника на "внешний" айпишник сервера?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "проблема с пробросом порта в iptables"	+1 +/–
Сообщение от omnomnim on 12-Фев-16, 16:32
накуя iptables? хотя тоже можно, но видя твоий скилл, точнее полное отсутсвие оного, луше поднять nginx и приюзать proxy_pass
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "проблема с пробросом порта в iptables"	+/–
Сообщение от ALex_hha (ok) on 12-Фев-16, 17:27
ens18 10.2.1.11, ens19 10.1.1.12 что смотрит в локалку? И какие маски?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "проблема с пробросом порта в iptables"	+/–
Сообщение от Павел Самсонов on 13-Фев-16, 10:19
>[оверквотинг удален] > я поднял центось 7, с двумя сетевыми интерфейсами: ens18 10.2.1.11, ens19 10.1.1.12 > с него я по пингу 192.168.1.10 и телнетом на порт 777 попадаю. > теперь необходимо чтоб пользователь, вбивший в браузере > https://10.1.1.12:777/абракадабра > попал на > https://192.168.1.10:777/абракадабра > сервер только поднят, ничего не прописывалось, прописал правила > iptables -A FORWARD -i ens18 -o ens19 -j ACCEPT > iptables -A FORWARD -i ens19 -o ens18 -j ACCEPT > iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -d 10.2.1.11 -j MASQUERADE это правило убери > iptables -t nat -A PREROUTING -d 10.1.1.12/32 -p tcp -m tcp --dport > 777 -j DNAT --to-destination 192.168.1.10:777 это правило оставь > iptables -t nat -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport > 777 -j SNAT --to-source 10.1.1.12 это правило убери должн работать с одним правилом прероутинг > однако маршрут не прокидывается... когда стучусь на поднятый сервер со своей машины, > нгреп обращения на порт фиксирует и выводит > T 10.1.1.23:65375 -> 10.1.1.12:3443 [S] > ................ > есть у кого подсказка, что еще надо прописать и проверить, чтоб меня > туда пропускало маскируя айпишник источника на "внешний" айпишник сервера?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "проблема с пробросом порта в iptables"	+/–
	Сообщение от Павел Самсонов on 13-Фев-16, 10:23
	>[оверквотинг удален] >> iptables -t nat -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport >> 777 -j SNAT --to-source 10.1.1.12 > это правило убери > должн работать с одним правилом прероутинг >> однако маршрут не прокидывается... когда стучусь на поднятый сервер со своей машины, >> нгреп обращения на порт фиксирует и выводит >> T 10.1.1.23:65375 -> 10.1.1.12:3443 [S] >> ................ >> есть у кого подсказка, что еще надо прописать и проверить, чтоб меня >> туда пропускало маскируя айпишник источника на "внешний" айпишник сервера? И не забудь  sysctl  на тему  ipv4_forwarding
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "проблема с пробросом порта в iptables"	+/–
	Сообщение от Павел Самсонов on 13-Фев-16, 10:26
	>[оверквотинг удален] >> iptables -t nat -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport >> 777 -j SNAT --to-source 10.1.1.12 > это правило убери > должн работать с одним правилом прероутинг >> однако маршрут не прокидывается... когда стучусь на поднятый сервер со своей машины, >> нгреп обращения на порт фиксирует и выводит >> T 10.1.1.23:65375 -> 10.1.1.12:3443 [S] >> ................ >> есть у кого подсказка, что еще надо прописать и проверить, чтоб меня >> туда пропускало маскируя айпишник источника на "внешний" айпишник сервера? Нет, это правило нужно: iptables -t nat -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport 777 -j SNAT --to-source 10.1.1.12
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема