The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемы с DNAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Проблемы с DNAT"  
Сообщение от Semjon email(ok) on 13-Ноя-06, 22:19 
Здравствуйте, Всем!

Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.

Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
портов на компьтеры в локальной сети для работы с directconnect`ом
(конкретно StrongDC), делаю это следующим образом:

IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j /
DNAT --to-destination $comp1_IP

IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j /
DNAT --to-destination $comp2_IP

IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j /
DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.

FORWARD тоже разрешен.

Проблема в том, что работает это все только на одной машине в сети (и только
на ней, даже если менять айпишники и порты на других тачках на айпи и порт
той, которая работает, все равно не пашет). В ip_conntrack пишет, что
соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).

Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).

Что посоветуют уважаемые Гуру?

-----

With Best Regards!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблемы с DNAT"  
Сообщение от Semjon email(??) on 15-Ноя-06, 10:38 
>Здравствуйте, Всем!
>
>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>
>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>портов на компьтеры в локальной сети для работы с directconnect`ом
>(конкретно StrongDC), делаю это следующим образом:
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>/
>DNAT --to-destination $comp1_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>/
>DNAT --to-destination $comp2_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>/
>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>
>FORWARD тоже разрешен.
>
>Проблема в том, что работает это все только на одной машине в
>сети (и только
>на ней, даже если менять айпишники и порты на других тачках на
>айпи и порт
>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>
>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>
>Что посоветуют уважаемые Гуру?
>
>-----
>
>With Best Regards!


Ну что, никто не может помочь мне, в какую сторону хоть копать-то???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблемы с DNAT"  
Сообщение от vozd on 17-Ноя-06, 16:35 
>Здравствуйте, Всем!
>
>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>
>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>портов на компьтеры в локальной сети для работы с directconnect`ом
>(конкретно StrongDC), делаю это следующим образом:
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>/
>DNAT --to-destination $comp1_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>/
>DNAT --to-destination $comp2_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>/
>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>
>FORWARD тоже разрешен.
>
>Проблема в том, что работает это все только на одной машине в
>сети (и только
>на ней, даже если менять айпишники и порты на других тачках на
>айпи и порт
>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>
>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>
>Что посоветуют уважаемые Гуру?
>
>-----
>
>With Best Regards!


Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, а от тебя SNAT --sport 1100 и так же другие считаешь не нужно прописать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблемы с DNAT"  
Сообщение от perece on 17-Ноя-06, 18:12 
>>Здравствуйте, Всем!
>>
>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>>
>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>>портов на компьтеры в локальной сети для работы с directconnect`ом
>>(конкретно StrongDC), делаю это следующим образом:
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>>/
>>DNAT --to-destination $comp1_IP
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>>/
>>DNAT --to-destination $comp2_IP
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>>/
>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>>
>>FORWARD тоже разрешен.
>>
>>Проблема в том, что работает это все только на одной машине в
>>сети (и только
>>на ней, даже если менять айпишники и порты на других тачках на
>>айпи и порт
>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>>
>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>>
>>Что посоветуют уважаемые Гуру?
>>
>>-----
>>
>>With Best Regards!
>
>
>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе,
>а от тебя SNAT --sport 1100 и так же другие считаешь
>не нужно прописать?
ну что за чушь однако... во первых, а надо ли этому протоколу вообще встречные соединения устанавливать? или вы не в курсе, что для таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно /proc/net/ip_conntrack)?
во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle as little as possible". это значит, что если для "исходящих" прописан хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять же если src port важен протоколу) src port будет сохраняться у всех исходящих. а значит должны работать все.
кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований

\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблемы с DNAT"  
Сообщение от Semjon email(??) on 13-Дек-06, 01:48 
>>>Здравствуйте, Всем!
>>>
>>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>>>
>>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>>>портов на компьтеры в локальной сети для работы с directconnect`ом
>>>(конкретно StrongDC), делаю это следующим образом:
>>>
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>>>/
>>>DNAT --to-destination $comp1_IP
>>>
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>>>/
>>>DNAT --to-destination $comp2_IP
>>>
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>>>/
>>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>>>
>>>FORWARD тоже разрешен.
>>>
>>>Проблема в том, что работает это все только на одной машине в
>>>сети (и только
>>>на ней, даже если менять айпишники и порты на других тачках на
>>>айпи и порт
>>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>>>
>>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>>>
>>>Что посоветуют уважаемые Гуру?
>>>
>>>-----
>>>
>>>With Best Regards!
>>
>>
>>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе,
>>а от тебя SNAT --sport 1100 и так же другие считаешь
>>не нужно прописать?
>ну что за чушь однако... во первых, а надо ли этому протоколу
>вообще встречные соединения устанавливать? или вы не в курсе, что для
>таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются
>автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно
>/proc/net/ip_conntrack)?
>во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle
>as little as possible". это значит, что если для "исходящих" прописан
>хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять
>же если src port важен протоколу) src port будет сохраняться у
>всех исходящих. а значит должны работать все.
>кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень
>сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований
>
>\^P^/

Может уважаемый Гуру подскажет как это можно исправить?
Есть ли другие способы для форвардинга соединений, кроме DNAT`а?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проблемы с DNAT"  
Сообщение от Bogus email(??) on 23-Янв-08, 23:53 
>[оверквотинг удален]
>>хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять
>>же если src port важен протоколу) src port будет сохраняться у
>>всех исходящих. а значит должны работать все.
>>кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень
>>сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований
>>
>>\^P^/
>
>Может уважаемый Гуру подскажет как это можно исправить?
>Есть ли другие способы для форвардинга соединений, кроме DNAT`а?

на сколько мне известно для StrongDC нужно еще и udp порты(основой протокол передачи данных)
Если получилось скиньте конфиг )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру