https://www.opennet.ru/openforum/vsluhforumID1/89271.html Добрый день, уважаемые участники форума!<br><br><br>Есть проблемка, которую ну никак не ожидал увидеть...<br>Возникла необходимость вынести www сервер в DMZ. Вроде все нормально - да этот самый www сервер не видит никаких ip адресов, кроме как своего и адреса файервола, который мапит порт на него. Очень неудобно в плане администрирования.<br><br>Схема:<br><br>=========<br>Интернет=<br>=========<br> &#124;<br> \/ eth0<br>========= eth0:1======= <br>Firewall= -----&gt; = www =<br>========= =======<br> ^ eth1<br> &#124;<br>=========<br>LAN =<br>=========<br><br>Правила на Firewall<br><br>$ipt -t nat -A PREROUTING -i eth0 -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $DMZ_IP:80<br>$ipt -t nat -A PREROUTING -i eth1 -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $DMZ_IP:80<br>$ipt -t nat -A PREROUTING -i eth0 ! -s $LAN_IP -p tcp --dport 8080 -j DNAT --to-destination $DMZ_IP:80<br><br>$ipt -A FORWARD -i eth0 -o eth0 -d $DMZ_IP -p tcp --dport 80 -j ACCEPT<br>$ipt -A FORWARD -o eth0 -i eth0 -s $DMZ_IP -p tcp -m state --state EST https://www.opennet.ru/openforum/vsluhforumID1/89271.html#17 Mon, 18 Oct 2010 06:10:25 GMT &gt;&gt;&gt;вкуривать http://www.opennet.ru/docs/RUS/iptables/ (пункт 6.5.2 - хороший пример) <br>&gt;&gt; Вкуривал. И если ты УМЕЕШЬ ЧИТАТЬ все давно решено<br>&gt; ну и хорошо. я не всю тему читал если честно.<br><br>Понятно)))<br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#16 Sun, 17 Oct 2010 03:21:02 GMT &gt;&gt;вкуривать http://www.opennet.ru/docs/RUS/iptables/ (пункт 6.5.2 - хороший пример) <br>&gt; Вкуривал. И если ты УМЕЕШЬ ЧИТАТЬ все давно решено<br><br>ну и хорошо. я не всю тему читал если честно.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#15 Sun, 17 Oct 2010 03:18:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Поделитесь опытом, возможно ли решить данную проблему? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;P.S. Так как на фаерволе было всего 2 сетевых интерфейса, пришлось прописать <br>&gt;&gt;&gt;алиас. <br>&gt;&gt;<br>&gt;&gt;а в POSTROUTING что? <br>&gt;&gt;<br>&gt;&gt;iptables-save покажите <br>&gt; А это какое отношение имеет к пробросу портов? DNAT не требует дополнительных<br>&gt; правил в POSTROUTING<br><br>неужели? а откуда сервер доступен должен быть? со всех сторон? <br><br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#14 Tue, 13 Jul 2010 16:09:01 GMT &gt;&gt;вкуривать http://www.opennet.ru/docs/RUS/iptables/ (пункт 6.5.2 - хороший пример) <br>&gt;<br>&gt;Вкуривал. И если ты УМЕЕШЬ ЧИТАТЬ все давно решено <br><br>учись писать, читатель.<br><br>- хорошо, что решена проблема.<br>- указал на доки, которые помочь тебе могли в решении проблемы.<br><br>PS ссылку по работе с кнопкой Caps Lock ищи в гугле сам.<br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#13 Tue, 13 Jul 2010 09:41:36 GMT &gt;вкуривать http://www.opennet.ru/docs/RUS/iptables/ (пункт 6.5.2 - хороший пример) <br><br>Вкуривал. И если ты УМЕЕШЬ ЧИТАТЬ все давно решено<br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#12 Mon, 12 Jul 2010 22:28:43 GMT вкуривать http://www.opennet.ru/docs/RUS/iptables/ (пункт 6.5.2 - хороший пример)<br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#11 Fri, 02 Jul 2010 02:46:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;со своих подсетей <br>&gt;&gt;<br>&gt;&gt;а с инета? <br>&gt;<br>&gt;Именно с инета начал различать адреса. Это было самым главным =) <br>&gt;P.S. правило iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <br>&gt;было заменено на <br>&gt;iptables -t nat -A POSTROUTING -s 192.168.x1.0/24 -o eth0 -j MASQUERADE <br>&gt;iptables -t nat -A POSTROUTING -s 192.168.x2.0/24 -o eth0 -j MASQUERADE <br>&gt;iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <br><br>Последнее правило ошибочно добавил в предыдущее сообщение<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#10 Thu, 01 Jul 2010 16:36:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <br>&gt;&gt;&gt;&gt;Все остальное разрешается FORWARDами таблицы filter. Просто так удобнее. <br>&gt;&gt;&gt;&gt;Думаете что изза этого у меня проблемы с адресами? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;да, исключите подсеть DMZ в нем -d ! $DMZ <br>&gt;&gt;<br>&gt;&gt;именно так не помогло. Помогло обратное правило - удалив старое добавил доступ <br>&gt;&gt;со своих подсетей <br>&gt;<br>&gt;а с инета? <br><br>Именно с инета начал различать адреса. Это было самым главным =)<br>P.S. правило iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <br>было заменено на <br>iptables -t nat -A POSTROUTING -s 192.168.x1.0/24 -o eth0 -j MASQUERADE <br>iptables -t nat -A POSTROUTING -s 192.168.x2.0/24 -o eth0 -j MASQUERADE <br>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <br> https://www.opennet.ru/openforum/vsluhforumID1/89271.html#9 Thu, 01 Jul 2010 11:54:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Есть такое правило <br>&gt;&gt;&gt;iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <br>&gt;&gt;&gt;Все остальное разрешается FORWARDами таблицы filter. Просто так удобнее. <br>&gt;&gt;&gt;Думаете что изза этого у меня проблемы с адресами? <br>&gt;&gt;<br>&gt;&gt;да, исключите подсеть DMZ в нем -d ! $DMZ <br>&gt;<br>&gt;именно так не помогло. Помогло обратное правило - удалив старое добавил доступ <br>&gt;со своих подсетей <br><br>а с инета?<br>