- Настройка iptables, BarS, 15:11 , 14-Дек-10 (1)
- Настройка iptables, alex320388, 15:28 , 14-Дек-10 (2)
> Подумать на это и спокойно разобраться: > -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT > -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT > для проходящих важны правила FORWARD Так чтоли? ************************* -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT *************************
- Настройка iptables, BarS, 15:41 , 14-Дек-10 (3)
- Настройка iptables, BarS, 15:42 , 14-Дек-10 (4)
- Настройка iptables, alex320388, 16:05 , 14-Дек-10 (6)
>> Я там твою схему скурить не могу :) Но логично. В обратную >> сторону пакеты тож должны будут ходить, глянь как они у тебя >> пропустятся. > + > А пропустятся они этим: > -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT это не работает: -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT Я вот что подумал, у компьютеров сети 192. шлюзом есть 192.168.2.1, поэтому маршрут им известен, а как компьютеры иной сети могут узнать маршрут если у них шлюзом является другой комп? Может такак схема сети как у меня неверна?
- Настройка iptables, reader, 15:47 , 14-Дек-10 (5)
- Настройка iptables, alex320388, 16:06 , 14-Дек-10 (7)
>[оверквотинг удален] >>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT >>>> для проходящих важны правила FORWARD >>> Так чтоли? >>> ************************* >>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT >>> ************************* >> Я там твою схему скурить не могу :) Но логично. В обратную >> сторону пакеты тож должны будут ходить, глянь как они у тебя >> пропустятся. > если 192.168.2.2 за eth2, то не логично.а как надо?
- Настройка iptables, reader, 16:23 , 14-Дек-10 (8)
- Настройка iptables, alex320388, 17:02 , 14-Дек-10 (9)
> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не > понятно, но если 101.10.10.* за eth2, тогда другое дело.ifconfig eth1 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 eth2 inet addr:101.10.10.8 Bcast:101.10.10.255 Mask:255.255.255.0 так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся { локальная сеть } {____________шлюз____________________} { иная сеть } {___192.168.2.0__}----{ -----eth1-- 192.168.2.1 -eth2-- }-----{ 101.10.10.0 } --------+--------- | { 192.168.2.2:8080 }--компьютер на котором установлен calibre-server
- Настройка iptables, reader, 17:11 , 14-Дек-10 (10)
- Настройка iptables, alex320388, 17:15 , 14-Дек-10 (11)
route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 101.10.10.0 * 255.255.255.0 U 0 0 0 eth2 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth2 default 101.10.10.1 0.0.0.0 UG 0 0 0 eth2 шлюзом в 101.10.10.0 есть 101.10.10.1
- Настройка iptables, alex320388, 17:19 , 14-Дек-10 (12)
а за 101.10.10.1 сеть 10.20.8.0
- Настройка iptables, reader, 17:26 , 14-Дек-10 (13)
- Настройка iptables, alex320388, 17:32 , 14-Дек-10 (15)
- Настройка iptables, alien_, 12:26 , 27-Дек-10 (16)
- Настройка iptables, reader, 12:57 , 27-Дек-10 (17)
- Настройка iptables, alien_, 13:39 , 27-Дек-10 (18)
- Настройка iptables, reader, 13:48 , 27-Дек-10 (19)
- Настройка iptables, alien_, 14:56 , 27-Дек-10 (20)
- Настройка iptables, reader, 15:04 , 27-Дек-10 (21)
- Настройка iptables, alien_, 15:47 , 27-Дек-10 (22)
- Настройка iptables, reader, 16:22 , 27-Дек-10 (23)
- Настройка iptables, alien_, 16:43 , 27-Дек-10 (24)
- Настройка iptables, reader, 16:58 , 27-Дек-10 (25)
- Настройка iptables, alien_, 10:10 , 28-Дек-10 (26)
- Настройка iptables, reader, 11:11 , 28-Дек-10 (27)
- Настройка iptables, alien_, 11:23 , 28-Дек-10 (28)
- Настройка iptables, reader, 11:39 , 28-Дек-10 (29)
- Настройка iptables, alien_, 12:42 , 28-Дек-10 (30)
- Настройка iptables, reader, 13:23 , 28-Дек-10 (31) +1
- Настройка iptables, alex320388, 12:12 , 13-Янв-11 (32)
Всех поздравляю с Щедрым вечером!В продолжении темы. Я всетаки смог пробросить порт, но затея, для чего все предпринималось так и не реализована, конечно виной тому праздники, так как я просто забил, но всеже хотелось бы продолжить. Имеем - пакеты из внешней сети могут теперь передаваться на 1 комп локалки ____________________________ [root@server ~]# iptables -t nat -nx -L PREROUTING Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0 101.8.9.8 tcp dpt:8080 to:192.168.2.101:8080 _____________________________ [root@server ~]# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere 101.8.9.8 tcp dpt:webcache to:192.168.2.101:8080 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination _____________________________ Теперь вопрос. На 101.8.9.8 работает сайт на httpd. Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080 пишу в .htaccess redirect /bib http://192.168.2.101:8080 Юзеры из локалки 192.168.2.0 редиректятся, а из внешней сети - нет. Помогите в какую сторону рыть. Спасибо
- Настройка iptables, reader, 12:24 , 13-Янв-11 (33)
- Настройка iptables, alex320388, 12:40 , 13-Янв-11 (34)
> в сторону что такое белые и серые адреса нагуглил кое-что, вопрос - без прокси не обойтись?
- Настройка iptables, reader, 12:52 , 13-Янв-11 (35)
- Настройка iptables, alex320388, 13:10 , 13-Янв-11 (36)
>>> в сторону что такое белые и серые адреса >> нагуглил кое-что, вопрос - без прокси не обойтись? > зависит от того что нужно, можно через DNAT нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080
- Настройка iptables, reader, 13:38 , 13-Янв-11 (37)
- Настройка iptables, alex320388, 14:04 , 13-Янв-11 (38)
> я о том нужен ли дополнительный контроль, кеширование, ... > если нет, то хватит и DNAT > проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и > поймете дополнительный контроль, кеширование, не нужны а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101, а он не знает что этот адрес за NAT 101.8.9.8, ищет по стандартному маршруту и не находит
|