forum.opennet.ru

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

DNAT d iptables, silent79 (ok), 27-Окт-10, (0) [смотреть все]

gt оверквотинг удален это из-за правила с SNAT, если на 192 168 1 223 шлюзом у, reader (ok), 14:50 , 27-Окт-10, (1) //

Без этого правила вообще не работает перенаправление порта Пакеты до сервера БД, silent79 (ok), 15:51 , 27-Окт-10, (2) //

откуда проверяете из 192 168 1 0 подсети , reader (ok), 16:13 , 27-Окт-10, (3) //

и из этой сети подсети и из интернета Без этого правила не пропускает , silent79 (ok), 16:38 , 27-Окт-10, (4)

покажите iptables-save с этой машины и таблицу маршрутизации с 192 168 1 223 ест, reader (ok), 17:16 , 27-Окт-10, (5)

У нас так -A PREROUTING -d EXT IP ADD RES -i eth1 -p tcp -m tcp --dport 80 -j DN, sHaggY_caT (ok), 02:43 , 28-Окт-10, (6) //

gt оверквотинг удален а FORWARD от 10 XX XX 18 можно не разрешать , reader (ok), 10:25 , 28-Окт-10, (7) //

У нас по умолчанию все стоит в DROP Если не разрешить, то DNAT и не будет работ, sHaggY_caT (ok), 10:43 , 28-Окт-10, (8) //

но в вашем примере это не отражено и тем не менее сказано что этого достаточно , reader (ok), 10:49 , 28-Окт-10, (9)

Вы правы, так нельзяНе умышленное, а просто подразумевалось, что таки, из сообра, sHaggY_caT (ok), 11:14 , 28-Окт-10, (10)

полностью ЗА мы о разном правило -A FORWARD -d 10 XX XX 18 -p tcp -m tcp --dpor, reader (ok), 11:49 , 28-Окт-10, (11)

Попробуй заменитьнаiptables -t nat -I POSTROUTING u -s 192 168 1 0 24 я просто , Гусище (ok), 12:18 , 29-Окт-10, (12) //

Большое спасибо ВСЕМ за советы Да, я действительно так сделал и не заработало , silent79 (ok), 23:38 , 29-Окт-10, (13)

Сообщения [Сортировка по времени | RSS]

8. "DNAT d iptables" +/–

Сообщение от sHaggY_caT (ok), 28-Окт-10, 10:43

> а FORWARD от 10.XX.XX.18 можно не разрешать? :)
У нас по умолчанию все стоит в DROP. Если не разрешить, то DNAT и не будет работать

Ответить | Правка | Наверх | Cообщить модератору

9. "DNAT d iptables" +/–

Сообщение от reader (ok), 28-Окт-10, 10:49

>> а FORWARD от 10.XX.XX.18 можно не разрешать? :)
> У нас по умолчанию все стоит в DROP. Если не разрешить, то
> DNAT и не будет работать
но в вашем примере это не отражено и тем не менее сказано что "этого достаточно".
а это умышленное введение человека в заблуждение :) .

Ответить | Правка | Наверх | Cообщить модератору

10. "DNAT d iptables" +/–

Сообщение от sHaggY_caT (ok), 28-Окт-10, 11:14

> но в вашем примере это не отражено и тем не менее сказано
> что "этого достаточно".
Вы правы, так нельзя
> а это умышленное введение человека в заблуждение :) .
Не умышленное, а просто подразумевалось, что таки, из сообраений элементарной предосторожности, FORWARD будет стоять в DROP.
Конечно, правила пакетного фильтра зависят от дистрибутива, но моем допущение не настолько и невероятно, Вы согласны в свою очередь?
Избыточность есть в указаниях вида: -p tcp -m tcp это как раз делает скрипт, и аналогично для более сложных случаев.
Но я не рискнула на сонную голову убирать лишнее, что бы топикстартер получил гарантированно работатоспособный вариант.

Ответить | Правка | Наверх | Cообщить модератору

11. "DNAT d iptables" +/–

Сообщение от reader (ok), 28-Окт-10, 11:49

>> но в вашем примере это не отражено и тем не менее сказано
>> что "этого достаточно".
> Вы правы, так нельзя
>> а это умышленное введение человека в заблуждение :) .
> Не умышленное, а просто подразумевалось, что таки, из сообраений элементарной предосторожности,
> FORWARD будет стоять в DROP.
полностью ЗА!
> Конечно, правила пакетного фильтра зависят от дистрибутива, но моем допущение не настолько
> и невероятно, Вы согласны в свою очередь?
мы о разном.
правило:
-A FORWARD -d 10.XX.XX.18 -p tcp -m tcp --dport 80 -j ACCEPT
подразумевает что по умолчанию FORWARD будет стоять в DROP, иначе это правило излишнее.
значит нужно правило и для ответных пакетов. и я о том что это правило нужно было упомянуть :) .

> Избыточность есть в указаниях вида: -p tcp -m tcp это как раз
> делает скрипт, и аналогично для более сложных случаев.
> Но я не рискнула на сонную голову убирать лишнее, что бы топикстартер
> получил гарантированно работатоспособный вариант.
-p tcp - я бы не назвал избыточным, но зависит от нужд, а -m tcp - iptables сам добавит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	8. "DNAT d iptables"	+/–
	Сообщение от sHaggY_caT (ok), 28-Окт-10, 10:43
	> а FORWARD от 10.XX.XX.18 можно не разрешать? :) У нас по умолчанию все стоит в DROP. Если не разрешить, то DNAT и не будет работать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "DNAT d iptables"	+/–
	Сообщение от reader (ok), 28-Окт-10, 10:49
	>> а FORWARD от 10.XX.XX.18 можно не разрешать? :) > У нас по умолчанию все стоит в DROP. Если не разрешить, то > DNAT и не будет работать но в вашем примере это не отражено и тем не менее сказано что "этого достаточно". а это умышленное введение человека в заблуждение :) .
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "DNAT d iptables"	+/–
	Сообщение от sHaggY_caT (ok), 28-Окт-10, 11:14
	> но в вашем примере это не отражено и тем не менее сказано > что "этого достаточно". Вы правы, так нельзя > а это умышленное введение человека в заблуждение :) . Не умышленное, а просто подразумевалось, что таки, из сообраений элементарной предосторожности, FORWARD будет стоять в DROP. Конечно, правила пакетного фильтра зависят от дистрибутива, но моем допущение не настолько и невероятно, Вы согласны в свою очередь? Избыточность есть в указаниях вида: -p tcp -m tcp это как раз делает скрипт, и аналогично для более сложных случаев. Но я не рискнула на сонную голову убирать лишнее, что бы топикстартер получил гарантированно работатоспособный вариант.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "DNAT d iptables"	+/–
	Сообщение от reader (ok), 28-Окт-10, 11:49
	>> но в вашем примере это не отражено и тем не менее сказано >> что "этого достаточно". > Вы правы, так нельзя >> а это умышленное введение человека в заблуждение :) . > Не умышленное, а просто подразумевалось, что таки, из сообраений элементарной предосторожности, > FORWARD будет стоять в DROP. полностью ЗА! > Конечно, правила пакетного фильтра зависят от дистрибутива, но моем допущение не настолько > и невероятно, Вы согласны в свою очередь? мы о разном. правило: -A FORWARD -d 10.XX.XX.18 -p tcp -m tcp --dport 80 -j ACCEPT подразумевает что по умолчанию FORWARD будет стоять в DROP, иначе это правило излишнее. значит нужно правило и для ответных пакетов. и я о том что это правило нужно было упомянуть :) . > Избыточность есть в указаниях вида: -p tcp -m tcp это как раз > делает скрипт, и аналогично для более сложных случаев. > Но я не рискнула на сонную голову убирать лишнее, что бы топикстартер > получил гарантированно работатоспособный вариант. -p tcp - я бы не назвал избыточным, но зависит от нужд, а -m tcp - iptables сам добавит.
	Ответить \| Правка \| Наверх \| Cообщить модератору