forum.opennet.ru

"DNAT d iptables"

Форум Открытые системы на сервере
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "DNAT d iptables"	+/–
Сообщение от sHaggY_caT (ok), 28-Окт-10, 02:43
> Доброго времени суток. > У меня такой вопрос. Есть сервер на который приходит интернет и есть > второй сервер на котором работает сервер БД. На первом сервере в > iptables написано правило для переброса порта на второй сервер. У нас так: -A PREROUTING -d EXT.IP.ADD.RES -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.XX.XX.18:80 -A FORWARD -d 10.XX.XX.18 -p tcp -m tcp --dport 80 -j ACCEPT На web-сервере видно (в частности, это видит Nginx в данном примере, да и любой другой публикуемый сервис) с какого IP-адреса приходит запрос. Правила несколько избыточны, так как автоматически генерируются скриптом. Их всего два (на публикуемый сервис), они есть только на гейтвее, и отсуствуют на публикуемой вовне машине, и этого достаточно.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

DNAT d iptables, silent79, 27-Окт-10, 14:12 [смотреть все]

gt оверквотинг удален это из-за правила с SNAT, если на 192 168 1 223 шлюзом у, reader, 27-Окт-10, 14:50 (1) //
- Без этого правила вообще не работает перенаправление порта Пакеты до сервера БД, silent79, 27-Окт-10, 15:51 (2) //
  - откуда проверяете из 192 168 1 0 подсети , reader, 27-Окт-10, 16:13 (3) //
    - и из этой сети подсети и из интернета Без этого правила не пропускает , silent79, 27-Окт-10, 16:38 (4)
      - покажите iptables-save с этой машины и таблицу маршрутизации с 192 168 1 223 ест, reader, 27-Окт-10, 17:16 (5)
У нас так -A PREROUTING -d EXT IP ADD RES -i eth1 -p tcp -m tcp --dport 80 -j DN , sHaggY_caT, 28-Окт-10, 02:43 (6) //
- gt оверквотинг удален а FORWARD от 10 XX XX 18 можно не разрешать , reader, 28-Окт-10, 10:25 (7) //
  - У нас по умолчанию все стоит в DROP Если не разрешить, то DNAT и не будет работ, sHaggY_caT, 28-Окт-10, 10:43 (8) //
    - но в вашем примере это не отражено и тем не менее сказано что этого достаточно , reader, 28-Окт-10, 10:49 (9)
      - Вы правы, так нельзяНе умышленное, а просто подразумевалось, что таки, из сообра, sHaggY_caT, 28-Окт-10, 11:14 (10)
        
        полностью ЗА мы о разном правило -A FORWARD -d 10 XX XX 18 -p tcp -m tcp --dpor, reader, 28-Окт-10, 11:49 (11)
Попробуй заменитьнаiptables -t nat -I POSTROUTING u -s 192 168 1 0 24 я просто , Гусище, 29-Окт-10, 12:18 (12) //
- Большое спасибо ВСЕМ за советы Да, я действительно так сделал и не заработало , silent79, 29-Окт-10, 23:38 (13)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру