форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"форвард пакетов на внешний ИП"	+/–
Сообщение от SamVlas (ok) on 21-Июн-10, 13:45
Возникла такая ситуация Есть сервер в интернете IP_1 на котором открыт 443 на котором установлен web https куда ходят юзеры, с недавних пор у некоторых начались проблему (пока выясняем почему и где что). Есть еще сервер в интернете IP_2 на который у них всегда есть доступ. Нужно сделать форвард пакетов при конекте на IP_2:443 на IP_1:443 вопрос, как сделать? и возможно ли это? IP_1 и IP_2 совершенно разные подсети.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "форвард пакетов на внешний ИП"	+/–
Сообщение от reader (ok) on 21-Июн-10, 14:13
>[оверквотинг удален] > >Есть сервер в интернете IP_1 на котором открыт 443 на котором установлен >web https куда ходят юзеры, с недавних пор у некоторых начались >проблему (пока выясняем почему и где что). Есть еще сервер в >интернете IP_2 на который у них всегда есть доступ. > >Нужно сделать форвард пакетов при конекте на IP_2:443 на IP_1:443 > >вопрос, как сделать? и возможно ли это? IP_1 и IP_2 совершенно разные >подсети. если клиенты к IP_1 идут через вашу машину, то можно http://www.opennet.me/docs/RUS/iptables/#DNATTARGET
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "форвард пакетов на внешний ИП"	+/–
	Сообщение от SamVlas (ok) on 21-Июн-10, 14:16
	клиенты заходят в интернет через своего провайдера IP_1 и IP_2 разные сервера в инете
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "форвард пакетов на внешний ИП"	+/–
	Сообщение от SamVlas (ok) on 21-Июн-10, 14:17
	то есть что нужно Клиент -> IP_2:443 и попадает на IP_1:443
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "форвард пакетов на внешний ИП"	+/–
	Сообщение от reader (ok) on 21-Июн-10, 14:21
	>то есть что нужно > >Клиент -> IP_2:443 и попадает на IP_1:443 если пакета от клиента идут не через вас, то влиять на них вы не можете, клиент сам должен сменить адрес если IP_2 это вас ресурс, то можете на нем внести изменения
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "форвард пакетов на внешний ИП"	+/–
	Сообщение от SamVlas (ok) on 21-Июн-10, 14:25
	>>то есть что нужно >> >>Клиент -> IP_2:443 и попадает на IP_1:443 > >если пакета от клиента идут не через вас, то влиять на них >вы не можете, клиент сам должен сменить адрес Поясню еще раз - мозг уже едет, поэтому извиняюсь что не доходчиво объяснил. Клиенты конектились к IP_1, у кого проблемы - поменяют адрес и будут конектиться к IP_2
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "форвард пакетов на внешний ИП"	+/–
	Сообщение от reader (ok) on 21-Июн-10, 14:37
	>[оверквотинг удален] >>>Клиент -> IP_2:443 и попадает на IP_1:443 >> >>если пакета от клиента идут не через вас, то влиять на них >>вы не можете, клиент сам должен сменить адрес > >Поясню еще раз - мозг уже едет, поэтому извиняюсь что не доходчиво >объяснил. > >Клиенты конектились к IP_1, у кого проблемы - поменяют адрес и будут >конектиться к IP_2 а уже с IP_2 пакеты перенаправить на IP_1? если да, и у вас есть доступ по управлению машиной IP_2, то ссылку я вам дал
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "форвард пакетов на внешний ИП"	+/–
	Сообщение от SamVlas (ok) on 21-Июн-10, 14:41
	>а уже с IP_2 пакеты перенаправить на IP_1? >если да, и у вас есть доступ по управлению машиной IP_2, то >ссылку я вам дал да именно так, но iptables -t nat -A PREROUTING --dst $IP_2 -p tcp --dport 443 -j DNAT --to-destination $IP_1 не работает. telnet IP_2 443 выдает что не удалось подключиться к узлу
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "форвард пакетов на внешний ИП"	+/–
	Сообщение от reader (ok) on 21-Июн-10, 14:49
	>[оверквотинг удален] >да именно так, но > >iptables -t nat -A PREROUTING --dst $IP_2 -p tcp --dport 443 -j >DNAT --to-destination $IP_1 > >не работает. > >telnet IP_2 443 > >выдает что не удалось подключиться к узлу http://www.opennet.me/openforum/vsluhforumID1/89151.html только про "конечную точку" там бред, дело в пути возврата пакетов
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "форвард пакетов на внешний ИП"	+/–
	Сообщение от SamVlas (ok) on 21-Июн-10, 14:53
	>[оверквотинг удален] >> >>не работает. >> >>telnet IP_2 443 >> >>выдает что не удалось подключиться к узлу > >http://www.opennet.me/openforum/vsluhforumID1/89151.html > >только про "конечную точку" там бред, дело в пути возврата пакетов iptables -t nat -A POSTROUTING -d IP_2 -j SNAT --to-source IP_1 не помогло
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "форвард пакетов на внешний ИП"	+/–
	Сообщение от reader (ok) on 21-Июн-10, 14:57
	>[оверквотинг удален] >>> >>>выдает что не удалось подключиться к узлу >> >>http://www.opennet.me/openforum/vsluhforumID1/89151.html >> >>только про "конечную точку" там бред, дело в пути возврата пакетов > >iptables -t nat -A POSTROUTING -d IP_2 -j SNAT --to-source IP_1 > >не помогло если перенаправление делается на IP_2, то iptables -t nat -A POSTROUTING -d IP_1 -j SNAT --to-source IP_2 и DNAT, тоже должен остаться
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "форвард пакетов на внешний ИП"	+/–
	Сообщение от SamVlas (ok) on 21-Июн-10, 15:11
	спасибо помогло! дело было в других правилах - почистил все заработало.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема