Главная » Форум » Gentoo Linux » Системное администрирование

Iptables - настройка проброса портов

PoLiNoMm 21 декабря, 2007 - 16:41

Ситуация: Пункт А, Пункт Б
Пункт А - сервис который слушает у себя на порту 1001.. Находиться в локальной сетке с IP 192.168.0.2.

Пункт Б - сервис который с произвольного порта пытается подключиться к сервису пункта А.. Находиться в Интернет причем IP динамический..

В локальной сети есть шлюз в интернет с внутренним интерфейсом eth1 - 192.168.0.1 и eth0 - внешний на интернет со статическим IP.

Так вот вопрос как задать правило в iptables чтобы при получении пакета на шлюзе на порт 1001, передавался бы пакет на внутренний компьютер 192.168.0.2:ХХХ , а затем 192.168.0.2:1001 передавал ответ на произвольный порт (с которого пришел запрос) в интернет на сервис пункта Б, с внешним IP адресом.

Вот что надо:
1. Пункт Б с 83.*.*.4:УУУ запрос на 195.*.*.111:1001 (шлюз)
2. Шлюз - Проброс на 192.168.0.2:1001 (Пункт А)
3. Пункт А получил запрос, обработал и передал на шлюз ответ 192.168.0.1:УУУ
4. Шлюз переписал IP адрес ответа на свой 195.*.*.111:УУУ, отправил

Пытался создать правила, но только не работает в обратном направлении т.е. запрос на 1001 приходит и пролетает во внутреннюю сетку а обратно не уходит..

-A PREROUTING -i eth0 -p tcp -d 195.*.*.111 --dport 1001 -j DNAT --to-destination 192.168.0.2

Подсобите пожалуйста!
Спасибо!

‹ Репликация MySQL. Не хотелось бы останавливать master. [SOLVED] Не получается на новом сервере установить memcacheq из ebuildа [SOLVED] ›
»

tcpdump на всех

Автор AnViar, дата создания 21 декабря, 2007 - 17:34.

tcpdump на всех промежуточных интерфейсах расскажет абсолютно все


»

#форвард iptables -A

Автор evadim, дата создания 21 декабря, 2007 - 17:44.
#форвард
iptables -A FORWARD -i ${WAN} -d 192.168.0.2/32 -j ACCEPT
#нат
iptables -t nat -A POSTROUTING -o ${WAN} -s 192.168.0.2/32 -j MASQUERADE
#проброс порта
iptables -t nat -A PREROUTING -p TCP --dport 9999 -i ${WAN} -j DNAT --to 192.168.0.2
»

evadim

Автор sspphheerraa, дата создания 10 февраля, 2014 - 21:14.
evadim написал(а):
#форвард
iptables -A FORWARD -i ${WAN} -d 192.168.0.2/32 -j ACCEPT

+
/etc/sysctl.conf
net.ipv4.ip_forward = 1

»

у меня так работает

Автор Render, дата создания 21 декабря, 2007 - 19:19.

iptables -t nat -A PREROUTING -p tcp -d $if_eth1 --dport 60011 -j DNAT --to $ip:60011
iptables -t nat -A PREROUTING -p udp -d $if_eth1 --dport 60011 -j DNAT --to $ip:60011

$if_eth1 - внешний интерфейс
$ip - наш адрес (во внутренней сети) на который надо перебросить порты

»

Проверьте,

Автор Rinus, дата создания 22 декабря, 2007 - 00:35.

Проверьте, указан ли на 192.168.0.2 default gateway 192.168.0.1

»

Не пойму причину ? надо

Автор vlakar, дата создания 25 декабря, 2013 - 06:58.

Не пойму причину ?
надо пробросить порт 80 сделал так:

iptables -t nat -A PREROUTING -p TCP --dport 80 -i ${WAN} -j DNAT --to 10.66.77.2
Bad argument `DNAT'
Try `iptables -h' or 'iptables --help' for more information.

Что значит Bad argument `DNAT' ?

»

iptables -t nat -A PREROUTING

Автор kostik87, дата создания 25 декабря, 2013 - 09:27.
iptables -t nat -A PREROUTING -p TCP -i ${WAN} --dport 80 -j DNAT --to-destination 10.66.77.2
»

мишки у корытцу

Автор Vovike, дата создания 10 февраля, 2014 - 12:54.

В ядре DNAT включи

»

О боги, некроманты наступают!

Автор evadim, дата создания 15 февраля, 2014 - 19:30.

О боги, некроманты наступают!

»

скорее некрофилы

Автор slepnoga, дата создания 16 февраля, 2014 - 15:20.

скорее некрофилы

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".