Новые ответы

Настройка iptables,

alex320388, 14-Дек-10, 15:05 [смотреть все]

Привет всем!
Имеется такая конфигурация сети
{ локальная сеть }    {              шлюз                  }      { иная сеть }
{   192.168.2.0  }----{ -----eth2--   192.168.2.1  -eth1-- }-----{ 101.10.10.0 }
--------+---------
        |
{ 192.168.2.2:8080 }--компьютер на котором установлен calibre-server
в данный момент компьютеры сетти 192... имеют доступ и к иной сети и к
серверу calibrе; компьютеры из иной сети имеют доступ только к веб-серверу на
шлюзе (обращаются к нему по адресу 101.10.10.1) и не имеют доступа к
192.168.2.2:8080
Вопрос: как сделать доступ компьютерам из иной сети к 192.168.2.2:8080?

сейчас iptables на шлюзе
***************************************
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
-A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
***************************************
Спасибо.

Ответить | Сообщить модератору

Настройка iptables, BarS, 15:11 , 14-Дек-10 (1)

Настройка iptables, alex320388, 15:28 , 14-Дек-10 (2)
> Подумать на это и спокойно разобраться:
> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
> для проходящих важны правила FORWARD
Так чтоли?
*************************
-A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
*************************
Ответить | Сообщить модератору

Настройка iptables, BarS, 15:41 , 14-Дек-10 (3)

Настройка iptables, BarS, 15:42 , 14-Дек-10 (4)

Настройка iptables, alex320388, 16:05 , 14-Дек-10 (6)
>> Я там твою схему скурить не могу :) Но логично. В обратную
>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>> пропустятся.
> +
> А пропустятся они этим:
> -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
это не работает:
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
Я вот что подумал, у компьютеров сети 192. шлюзом есть 192.168.2.1, поэтому маршрут им известен, а как компьютеры иной сети могут узнать маршрут если у них шлюзом является
другой комп? Может такак схема сети как у меня неверна?
Ответить | Сообщить модератору

Настройка iptables, reader, 15:47 , 14-Дек-10 (5)

Настройка iptables, alex320388, 16:06 , 14-Дек-10 (7)
>[оверквотинг удален]
>>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>>>> для проходящих важны правила FORWARD
>>> Так чтоли?
>>> *************************
>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>>> *************************
>> Я там твою схему скурить не могу :) Но логично. В обратную
>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>> пропустятся.
> если 192.168.2.2 за eth2, то не логично.
а как надо?
Ответить | Сообщить модератору

Настройка iptables, reader, 16:23 , 14-Дек-10 (8)

Настройка iptables, alex320388, 17:02 , 14-Дек-10 (9)
> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не
> понятно, но если 101.10.10.* за eth2, тогда другое дело.
ifconfig
eth1      inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
eth2      inet addr:101.10.10.8  Bcast:101.10.10.255  Mask:255.255.255.0

так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся
{ локальная сеть }    {____________шлюз____________________}      { иная сеть }
{___192.168.2.0__}----{ -----eth1--   192.168.2.1  -eth2-- }-----{ 101.10.10.0 }
--------+---------
        |
{ 192.168.2.2:8080 }--компьютер на котором установлен calibre-server

Ответить | Сообщить модератору

Настройка iptables, reader, 17:11 , 14-Дек-10 (10)

Настройка iptables, alex320388, 17:15 , 14-Дек-10 (11)
route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     *               255.255.255.0   U     0      0        0 eth1
101.10.10.0     *               255.255.255.0   U     0      0        0 eth2
link-local      *               255.255.0.0     U     1002   0        0 eth1
link-local      *               255.255.0.0     U     1003   0        0 eth2
default         101.10.10.1     0.0.0.0         UG    0      0        0 eth2

шлюзом в 101.10.10.0 есть 101.10.10.1
Ответить | Сообщить модератору

Настройка iptables, alex320388, 17:19 , 14-Дек-10 (12)
а за 101.10.10.1 сеть 10.20.8.0

Ответить | Сообщить модератору

Настройка iptables, reader, 17:29 , 14-Дек-10 (14)

Настройка iptables, reader, 17:26 , 14-Дек-10 (13)

Настройка iptables, alex320388, 17:32 , 14-Дек-10 (15)
> https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
о, наверное то что надо, нутром чую :). Счас попробую
Ответить | Сообщить модератору

Настройка iptables, alien_, 12:26 , 27-Дек-10 (16)
Настройка iptables, reader, 12:57 , 27-Дек-10 (17)
Настройка iptables, alien_, 13:39 , 27-Дек-10 (18)
Настройка iptables, reader, 13:48 , 27-Дек-10 (19)
Настройка iptables, alien_, 14:56 , 27-Дек-10 (20)
Настройка iptables, reader, 15:04 , 27-Дек-10 (21)
Настройка iptables, alien_, 15:47 , 27-Дек-10 (22)
Настройка iptables, reader, 16:22 , 27-Дек-10 (23)
Настройка iptables, alien_, 16:43 , 27-Дек-10 (24)
Настройка iptables, reader, 16:58 , 27-Дек-10 (25)
Настройка iptables, alien_, 10:10 , 28-Дек-10 (26)
Настройка iptables, reader, 11:11 , 28-Дек-10 (27)
Настройка iptables, alien_, 11:23 , 28-Дек-10 (28)
Настройка iptables, reader, 11:39 , 28-Дек-10 (29)
Настройка iptables, alien_, 12:42 , 28-Дек-10 (30)
Настройка iptables, reader, 13:23 , 28-Дек-10 (31) +1

Настройка iptables, alex320388, 12:12 , 13-Янв-11 (32)
Всех поздравляю с Щедрым вечером!
В продолжении темы.
Я всетаки смог пробросить порт, но затея, для чего все предпринималось так и не реализована, конечно виной тому праздники, так как я просто забил, но всеже хотелось бы продолжить.
Имеем - пакеты из внешней сети могут теперь передаваться на 1 комп локалки
____________________________
[root@server ~]# iptables -t nat -nx -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot     opt                 source               destination
DNAT       tcp  --  0.0.0.0/0            101.8.9.8           tcp dpt:8080 to:192.168.2.101:8080
_____________________________
[root@server ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             101.8.9.8           tcp dpt:webcache to:192.168.2.101:8080
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
_____________________________
Теперь вопрос.
На 101.8.9.8 работает сайт на httpd.
Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080
пишу в .htaccess
redirect /bib http://192.168.2.101:8080
Юзеры из локалки  192.168.2.0 редиректятся, а из внешней сети - нет.
Помогите в какую сторону рыть. Спасибо
Ответить | Сообщить модератору

Настройка iptables, reader, 12:24 , 13-Янв-11 (33)

Настройка iptables, alex320388, 12:40 , 13-Янв-11 (34)
> в сторону что такое белые и серые адреса
нагуглил кое-что, вопрос - без прокси не обойтись?
Ответить | Сообщить модератору

Настройка iptables, reader, 12:52 , 13-Янв-11 (35)

Настройка iptables, alex320388, 13:10 , 13-Янв-11 (36)
>>> в сторону что такое белые и серые адреса
>> нагуглил кое-что, вопрос - без прокси не обойтись?
> зависит от того что нужно, можно через DNAT
нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080
Ответить | Сообщить модератору

Настройка iptables, reader, 13:38 , 13-Янв-11 (37)

Настройка iptables, alex320388, 14:04 , 13-Янв-11 (38)
> я о том нужен ли дополнительный контроль, кеширование, ...
> если нет, то хватит и DNAT
> проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и
> поймете
дополнительный контроль, кеширование, не нужны
а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101, а он не знает что этот адрес за NAT 101.8.9.8, ищет по стандартному маршруту и не находит
Ответить | Сообщить модератору

Настройка iptables, reader, 14:11 , 13-Янв-11 (39)