The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Как в Linux перебросить соединение через NAT во внутреннюю сеть 
Первый путь - пробрасывание только порта:
  1) iptables -t nat -A PREROUTING -p tcp -d EXT_R_IP --dport 10000 -j DNAT --to-destination LOCAL_IP:80
  2) iptables -A FORWARD -i eth0 -d LOCAL_IP -p tcp --dport 22 -j ACCEPT

Второй вариант - выброс всей машины наружу (если есть свободные адреса):
  1) ifconfig eth0:0 NEW_IP netmask NETMASK broadcast BROADCAST
  2) route add NEW_IP gw GW netmask 0.0.0.0 metric 1 dev eth0:0
  3) iptables -t nat -A PREROUTING -p tcp -d NEW_IP -j DNAT --to-destination LOCAL_IP
  4) iptables -A FORWARD -i eth0 -d LOCAL_IP -j ACCEPT

Обозначения: EXT_R_IP - внешний IP роутера, LOCAL_IP - внутренний IP машины,
которую хочешь выбросить
  NEW_IP - новый IP на который хочешь посадить машину, которая имеет локальный LOCAL_IP
  NETMASK, BROADCAST, GW - внешние netmask, broadcast и gateway
 
22.04.2003 , Автор: Dimez , Источник: http://www.opennet.ru/openforum/vsl...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Boytronic, 17:48, 22/04/2003 [ответить] [смотреть все]
    		• +/
    Что то я не уверен в первом варианте... прям как в учебнике, только сколько я не бился не работает по учебнику
     
  • 1.2, Alee, 16:53, 08/05/2003 [ответить] [смотреть все]
    		• +/
    iptables -t nat -A PREROUTING -d EXT_IP -i EXT_IF -p tcp -m tcp --dport 8101 -j DNAT -to-destination INT_IP:80
    iptables -t nat -A POSTROUTING -d INT_IP -o EXT_IF -p tcp -m tcp --dport 80 -j SNAT --to-source EXT_IP
    iptables -A FORWARD -d INT_IP -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

    INT_IP - ip на который осуществляем проброс
    EXT_IF - номер eth (0,1...) смотрящего наружу
    EXT_IP - внешний ip.

    Так должно работать.

     
  • 1.3, Denis, 16:54, 25/09/2003 [ответить] [смотреть все]
    		• +/
    в чем может быть дело:
    сделал как написанно. страница с внутреннего сервера грузится, а картинки на ней - нет.
    тоже самое и с почтой. user и pass проходят, а stat или list нифига... просто ничего не происходит...
     
  • 1.4, Vladimir, 10:41, 17/08/2005 [ответить] [смотреть все]
    		• +/
    Описание устройства сети

    INET_IP="10.0.2.33"
    INET_IFACE="ppp0"
    INET_BROADCAST="10.0.2.255"

    LAN_IP="192.168.10.10"
    LAN_IP_RANGE="192.168.10.0/24"
    LAN_IFACE="eth1"

    IPCLUB_IP="192.168.2.33"
    IPCLUB_IP_RANGE="192.168.2.0/24"
    IPCLUB_IFACE="eth0"

    Вопрос такой:
    Нужно пробросить 21 порт на 192.168.10.20 (WIN XP)
    пробовал так:

    $IPTABLES -t nat -A PREROUTING -d 10.0.2.33 -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.20:21
    $IPTABLES -t nat -A POSTROUTING -d 192.168.10.20 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.0.2.33
    $IPTABLES -A FORWARD -d 192.168.10.20 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT

    не получилось.... в чем ошибка?

     
  • 1.5, Momus, 14:50, 14/09/2005 [ответить] [смотреть все]
    		• +/
    $IPTABLES -t nat -A POSTROUTING -d 192.168.10.20 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.0.2.33

    тут ошибка имелось ввиду не destination a source

    $IPTABLES -t nat -A POSTROUTING -s 192.168.10.20 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.0.2.33

    и все будет работать

     
  • 1.6, Mokik, 14:50, 16/09/2005 [ответить] [смотреть все]  
    		• +/
    хм.. сайт пашет как тут написано по 80 порту а вот по 21 когда я настроил он не папки не показывает не качает на ftp сервере работает режим пассивной загрузки, как это настроить?
    iptables -t nat -A PREROUTING -d 192.168.18.35 -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 123.123.1.2:21

    iptables -t nat -A POSTROUTING -s 123.123.1.2 -o eth2 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.18.35

    iptables -A FORWARD -d 192.168.18.35 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
    это добавление в iptables не показывает не папки не качается...

     
     
  • 2.8, Killy, 22:18, 25/11/2005 [^] [ответить] [смотреть все]  
    		• +/
    22 порт еще открой
     
     
  • 3.13, vialorn, 14:59, 23/03/2007 [^] [ответить] [смотреть все]  
    		• +/
    может, все-таки порт 20, а не 22 ?
     
  • 2.16, Mega, 14:57, 17/02/2008 [^] [ответить] [смотреть все]  
    		• +/
    попробуй ещё загрузить модуль, modprobe ip_conntrack_ftp
     
  • 1.7, Akmal, 14:42, 28/10/2005 [ответить] [смотреть все]  
    		• +/
    А можно ли сделать так, чтобы компьютеры работающие в другой сети (192.168.25.x подключен через eth0) могли работать с файлами сети (192.168.0.x подключен через eth1). eth0 и eth1 - сетевые интерфейсы сервера
     
  • 1.9, MonsterDesh, 16:00, 02/02/2007 [ответить] [смотреть все]  
    		• +/
    Да Форвардинг пропиши...
    iptables -A forward -s 192.168.25.x -d 192.168.0.x
    iptables -A forward -s 192.168.0.x -d 192.168.25.x
     
  • 1.10, MonsterDesh, 16:03, 02/02/2007 [ответить] [смотреть все]  
    		• +/
    Да Форвардинг пропиши...
    iptables -A forward -s 192.168.25.x -d 192.168.0.x -j ACCEPT
    iptables -A forward -s 192.168.0.x -d 192.168.25.x -j ACCEPT
     
  • 1.11, blow, 12:23, 08/03/2007 [ответить] [смотреть все]  
    		• +/
    Проблема такая:
    есть 2 сети 172.18.2-3.1-254(ext) и 172.18.22-23.1-254(int)

    На границе стоит роутер.
    Под каждый компьютер в сети int на роутере прописан виртуальный интерфейс с адресом 172.18.2-3.x

    Делаю и dnat и snat, т.е. связь между компьютерами полная, в активном режиме, тут все ок.

    Одна проблема - компъютеры не видят игровые сервера соседней сети :(

    пытался писать dnat для броадкаста, однако эти пакеты идут до цепочки filter(input), и там исчезают :( в этой цепочке ни одного фильтрующего правила, действие по умолчанию - ACCEPT

     
  • 1.12, blow, 15:08, 20/03/2007 [ответить] [смотреть все]  
    		• +/
    в общем решил - пусть парятся сами, под винду есть софтинка agsm, она все серваки видит, если ее нормально настроить.... а броадкаст по ходу пытатся пробросить через шлюз бесполезно, нужен мост, а мост ставить низзя (топология сети+инет провайдер, хз че они там навортили, но при включении моста сеть лежит не только снаружи (там она почти всегда лежит), но и изнутри)
     
  • 1.14, Dingo, 08:35, 13/07/2007 [ответить] [смотреть все]  
    		• +/
    Есть комп две сетевые
    eth0 - 10.0.12.0/24 (ip 10.0.12.10)
    eth1 - внешний ip (к примеру 84.10.10.10)

    Возможно ли пробросить 21 порт из интернета (к примеру 85.10.10.10) на комп внутренней сети:
    10.20.34.0/24 (ip 10.20.34.5)?

    делаю так:
    iptables -t nat -A PREROUTING -d 85.10.10.10 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.20.34.5

    iptables -t nat -A POSTROUTING -s 10.20.34.5 -p tcp -m tcp --dport 21 -j SNAT --to-source 85.10.10.10

    iptables -A FORWARD ACCEPT

    проверяю с 85.10.10.10, telnet 10.0.12.10 21 и тишина

     
  • 1.15, Дмитрий, 14:15, 18/12/2007 [ответить] [смотреть все]  
    		• +/
    Добрый день, есть такой вопрос...
    Если мне надо извне перебросить соединение на локальное устройство (в данном случае это VOip), каким способом это можно сделать?
     
  • 1.17, daniil, 13:59, 23/04/2008 [ответить] [смотреть все]  
    		• +/
    есть камера AXIS 211m ip камера поключена в хаб, после этого идет в локалку ... весь текст скрыт [показать]
     
  • 1.18, Igor, 18:15, 07/11/2008 [ответить] [смотреть все]  
    		• +/
    Всем сдраствуйте!!!
    Подскажите, а как я могу выбросить внутренний порт 21, если у меня DHCP подключение???
    $INET_IFACE - eth0 - Internet
    $INET_IP - DHCP
    eth1 - 192.168.1.1

    $IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport 12121 -j DNAT --to-destination 192.168.20.200:21
    $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -d 192.168.20.200 --dport 21 -j ACCEPT

     
  • 1.19, MGF, 13:50, 15/07/2009 [ответить] [смотреть все]  
    		• +/
    Подскажите, как сделать переброс порта, для сервера находящегося внутри нашей сети через шлюз на базе Fedora? Дело в том, что у шлюза выход в инет настроен через ppp. Нужно, чтоб из инета к серверу внутри сети подключались через SSH.
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:
     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 12.05 Организация шифрованного бэкапа с помощью rdiff-backup, encfs и Dropbox
    - 11.05 Настройка беспроводного соединения в Debian GNU/Linux
    - 07.05 Использование Google Drive в Linux
    - 18.04 Использование нескольких сетевых стеков в Linux
    - 15.04 Восстановление стандартного KDE меню после его удаления (например, wine)
    - 11.04 Настройка gmirror при использовании GPT во FreeBSD 9
    - 09.04 Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ
    - 02.04 Частичное восстановление данных MySQL из бэкапа, созданного с использованием LVM
    - 21.03 Настройка DNSSEC в BIND 9.9
    - 17.03 Набор номера на Cisco IP Phone 7960/7940 из скрипта
    RSS | Следующие 15 записей >>


    ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Оформить подписку на год


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList