OpenForum RSS: iptables:возможно ли сделать такое? https://opennet.ru/openforum/vsluhforumID10/4491.html Hi!<br><br>Сделал попытки реализовать следующее и закрались смутные сомнения:"А возможно ли оно?".<br><br>Задача вроде бы банальная.<br>Есть сервер с внешним (ххх.ххх.ххх.ххх) и внутренним (192.168.0.5) адресами.<br>На этом сервере запущена некая программа, которая слушает только на внутреннем интерфейсе<br>порт 2000.<br>Надо, подключившись с внешнего интерфейса, попасть на внутренний на порт 2000.<br>Из вне пробросить соединение на компьютер во внутренней сети не составляет проблемы.<br>Но в описанной выше задаче, такие способы почему-то не срабатывают.<br>Т.о. вариации на тему<br>-A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 2000 -j DNAT --to-destination 192.168.0.5:2000<br>не решили проблему.<br><br>Подскажите, плиз, как реализовать желаемое?<br> iptables:возможно ли сделать такое? (po) https://opennet.ru/openforum/vsluhforumID10/4491.html#18 Fri, 05 Feb 2010 19:36:24 GMT &gt;повесить софтину на 0.0.0.0:2000 будет самым прямым решением задачи <br><br>а уже с помошью iptables можно ограничить соединения на эти порты<br> iptables:возможно ли сделать такое? (po) https://opennet.ru/openforum/vsluhforumID10/4491.html#17 Fri, 05 Feb 2010 19:34:00 GMT повесить софтину на 0.0.0.0:2000 будет самым прямым решением задачи<br> iptables:возможно ли сделать такое? (shas) https://opennet.ru/openforum/vsluhforumID10/4491.html#16 Fri, 05 Feb 2010 16:56:45 GMT &gt;указал squid-у слушать на внешнем интерфейсе шлюза. в браузере внутри сети, адресом <br>&gt;прокси, указал ip внутреннего интерфейса шлюза и на шлюзе соответственно сделал <br>&gt;проброс с внутреннего на внешний. все замечательно отработало и как ожидал <br>&gt;пакеты ходили через INPUT и OUTPUT , а не через FORWARD. <br>&gt;<br><br>С той программой, которую я привел в качестве теста, такой номер не пройдет.<br>По крайней мере, у меня не прошёл.<br><br><br> iptables:возможно ли сделать такое? (Pancher) https://opennet.ru/openforum/vsluhforumID10/4491.html#15 Tue, 02 Feb 2010 12:51:26 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Chain OUTPUT (policy ACCEPT 221 packets, 28995 bytes) <br>&gt; pkts bytes target prot opt in <br>&gt; out source <br>&gt; <br>&gt; destination <br>&gt;<br>&gt;<br>&gt;<br>&gt;net.ipv4.ip_forward = 1 <br><br>Поробуте разрешить tcp пакеты со статусом NEW.<br>Было, как то подобное, вот только не помню помогло или нет..<br> iptables:возможно ли сделать такое? (reader) https://opennet.ru/openforum/vsluhforumID10/4491.html#14 Mon, 01 Feb 2010 18:23:46 GMT указал squid-у слушать на внешнем интерфейсе шлюза. в браузере внутри сети, адресом прокси, указал ip внутреннего интерфейса шлюза и на шлюзе соответственно сделал проброс с внутреннего на внешний. все замечательно отработало и как ожидал пакеты ходили через INPUT и OUTPUT , а не через FORWARD.<br> iptables:возможно ли сделать такое? (shas) https://opennet.ru/openforum/vsluhforumID10/4491.html#13 Sun, 31 Jan 2010 13:37:47 GMT &gt;а в целом наверно задачу можно решить с помощью VPN , если <br>&gt;с iptables не получится. <br>&gt;во всяком случае с ssh подобное у меня было. <br><br>Спасибо!<br>Я тоже так думаю, что VPN должен помочь.<br>Но и про iptables я тоже так думал до недавнего времени. :)<br> iptables:возможно ли сделать такое? (reader) https://opennet.ru/openforum/vsluhforumID10/4491.html#12 Sun, 31 Jan 2010 12:53:49 GMT а в целом наверно задачу можно решить с помощью VPN , если с iptables не получится.<br>во всяком случае с ssh подобное у меня было.<br> iptables:возможно ли сделать такое? (reader) https://opennet.ru/openforum/vsluhforumID10/4491.html#11 Sun, 31 Jan 2010 11:36:01 GMT &gt;[оверквотинг удален]<br>&gt; Listen=&gt;5,<br>&gt; Proto=&gt;'tcp',<br>&gt; Reuse=&gt;1,<br>&gt; Timeout=&gt;3600);<br>&gt;<br>&gt;Теперь к реакции программы приводит только <br>&gt;telnet 127.0.0.1 5000 <br>&gt;<br>&gt;Так вот вопрос, возможно ли с помощью iptables добиться ответа программы <br>&gt;теперь подключившись с других сетевых интерфейсов? <br><br>сильно сомневаюсь, что на этот вопрос кто-то кроме разработчиков точно сможет ответитью :)<br>но можно экспериментировать, но для этого нужен инструмент который выловит хотя-бы один пакет после того как он пройдет через iptables. <br> iptables:возможно ли сделать такое? (shas) https://opennet.ru/openforum/vsluhforumID10/4491.html#10 Sun, 31 Jan 2010 06:44:13 GMT Спасибо за ответы, но не работает.<br>Для чистоты эксперимента поступил следующим образом.<br>Набросал следующую программу:<br><br>#!/usr/bin/perl -w<br>use strict;<br>use IO::Socket;<br>my $quit=0;<br>$SIG{INT}=sub {$quit=1};<br>my $listen_socket = IO::Socket::INET-&gt;new(LocalPort=&gt;5000,<br> Listen=&gt;5,<br> Proto=&gt;'tcp',<br> Reuse=&gt;1,<br> Timeout=&gt;3600);<br>die "Error 1:$@" unless $listen_socket;<br>warn "Waiting for connection...\n";<br>my $count=0;<br>while(!$quit){<br> next unless my $conn=$listen_socket-&gt;accept;<br> $count++;<br> warn "$count\n";<br> $conn-&gt;close;<br>}<br>$listen_socket-&gt;close;<br>warn "Bye!\n"<br><br>Вообщем все просто:открыли сокет и слушаем порт 5000. Если что-то пришло - выводим $count.<br>Если в открытии сокета не указывать LocalAddr, то программа слушает все интерфейсы.<br>Можно проверить:<br>telnet 192.168.0.5 5000<br>telnet 127.0.0.1 5000<br>telnet xxx.xxx.xxx.xxx 5000