forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проблемы с DNAT"
Отправлено perece, 17-Ноя-06 18:12

>>Здравствуйте, Всем!
>>
>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>>
>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>>портов на компьтеры в локальной сети для работы с directconnect`ом
>>(конкретно StrongDC), делаю это следующим образом:
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>>/
>>DNAT --to-destination $comp1_IP
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>>/
>>DNAT --to-destination $comp2_IP
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>>/
>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>>
>>FORWARD тоже разрешен.
>>
>>Проблема в том, что работает это все только на одной машине в
>>сети (и только
>>на ней, даже если менять айпишники и порты на других тачках на
>>айпи и порт
>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>>
>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>>
>>Что посоветуют уважаемые Гуру?
>>
>>-----
>>
>>With Best Regards!
>
>
>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе,
>а от тебя SNAT --sport 1100 и так же другие считаешь
>не нужно прописать?
ну что за чушь однако... во первых, а надо ли этому протоколу вообще встречные соединения устанавливать? или вы не в курсе, что для таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно /proc/net/ip_conntrack)?
во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle as little as possible". это значит, что если для "исходящих" прописан хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять же если src port важен протоколу) src port будет сохраняться у всех исходящих. а значит должны работать все.
кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований
\^P^/

Исходное сообщение
"Проблемы с DNAT" Отправлено perece, 17-Ноя-06 18:12
>>Здравствуйте, Всем! >> >>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет. >> >>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски >>портов на компьтеры в локальной сети для работы с directconnect`ом >>(конкретно StrongDC), делаю это следующим образом: >> >>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j >>/ >>DNAT --to-destination $comp1_IP >> >>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j >>/ >>DNAT --to-destination $comp2_IP >> >>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j >>/ >>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин. >> >>FORWARD тоже разрешен. >> >>Проблема в том, что работает это все только на одной машине в >>сети (и только >>на ней, даже если менять айпишники и порты на других тачках на >>айпи и порт >>той, которая работает, все равно не пашет). В ip_conntrack пишет, что >>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT). >> >>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware >>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен). >> >>Что посоветуют уважаемые Гуру? >> >>----- >> >>With Best Regards! > > >Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, >а от тебя SNAT --sport 1100 и так же другие считаешь >не нужно прописать? ну что за чушь однако... во первых, а надо ли этому протоколу вообще встречные соединения устанавливать? или вы не в курсе, что для таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно /proc/net/ip_conntrack)? во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle as little as possible". это значит, что если для "исходящих" прописан хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять же если src port важен протоколу) src port будет сохраняться у всех исходящих. а значит должны работать все. кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований \^P^/

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>>Здравствуйте, Всем!
>>> 
>>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>>> 
>>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски 
>>>портов на компьтеры в локальной сети для работы с directconnect`ом 
>>>(конкретно StrongDC), делаю это следующим образом: 
>>> 
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j 
>>>/ 
>>>DNAT --to-destination $comp1_IP 
>>> 
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j 
>>>/ 
>>>DNAT --to-destination $comp2_IP 
>>> 
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j 
>>>/ 
>>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>>> 
>>>FORWARD тоже разрешен.
>>> 
>>>Проблема в том, что работает это все только на одной машине в 
>>>сети (и только 
>>>на ней, даже если менять айпишники и порты на других тачках на 
>>>айпи и порт 
>>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что 
>>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>>> 
>>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware 
>>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>>> 
>>>Что посоветуют уважаемые Гуру?
>>> 
>>>----- 
>>> 
>>>With Best Regards!
>> 
>> 
>>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, 
>>а от тебя SNAT --sport 1100 и так же другие считаешь 
>>не нужно прописать?
> ну что за чушь однако... во первых, а надо ли этому протоколу 
> вообще встречные соединения устанавливать? или вы не в курсе, что для 
> таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные 
> обрабатываются автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть 
> можно /proc/net/ip_conntrack)?
> во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle 
> as little as possible". это значит, что если для "исходящих" прописан 
> хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять 
> же если src port важен протоколу) src port будет сохраняться у 
> всех исходящих. а значит должны работать все.
> кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень 
> сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований

> \^P^/

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру