The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Переадресация на другой компьютер при обращении на порт, MakPol (ok), 26-Июл-12, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Переадресация на другой компьютер при обращении на порт"  +/
Сообщение от PavelR (ok), 26-Июл-12, 10:35 

> В итоге сейчас пакеты не перенаправляются. Подскажите как правильно решить мою задачу.
> Все три компьютера находятся в локальной сети компании, где работаю.

нужна схема сети, с указанием IP-адресов хостов и их шлюзов, на всех участвующих хостах.

Ответить | Правка | Наверх | Cообщить модератору

2. "Переадресация на другой компьютер при обращении на порт"  +/
Сообщение от MakPol (ok), 26-Июл-12, 11:09 
> нужна схема сети, с указанием IP-адресов хостов и их шлюзов, на всех
> участвующих хостах.

Кажись немного разобрался...
изначально конфиг у меня стандартный, прогоняю скрипт с содержимым:
iptables -t nat -A PREROUTING --dst $IP_раб_серв -p tcp --dport 9090 -j DNAT --to-destination $IP_тест_серв
iptables -t nat -A POSTROUTING --dst $IP_тест_серв -p tcp --dport 9090 -j SNAT --to-source $IP_раб_серв
iptables -I FORWARD 1 -i eth0 -o eth0 -d $IP_тест_серв -p tcp -m tcp --dport 9090 -j ACCEPT
и дальше приходится еще сделать вот что:
iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited
иначе работать не будет, но это не правильно в плане безопастности, подскажите как лучше быть в этом случае.

Вот мой конфиг iptables, который подгружается после перезагрузки.включения и то что имеем до выполнения скрипта:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [1:10000]
:OUTPUT ACCEPT [42026:9681910]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Ответить | Правка | Наверх | Cообщить модератору

3. "Переадресация на другой компьютер при обращении на порт"  +/
Сообщение от reader (ok), 26-Июл-12, 11:20 
>> нужна схема сети, с указанием IP-адресов хостов и их шлюзов, на всех
>> участвующих хостах.
> Кажись немного разобрался...
> изначально конфиг у меня стандартный, прогоняю скрипт с содержимым:
> iptables -t nat -A PREROUTING --dst $IP_раб_серв -p tcp --dport 9090 -j
> DNAT --to-destination $IP_тест_серв
> iptables -t nat -A POSTROUTING --dst $IP_тест_серв -p tcp --dport 9090 -j
> SNAT --to-source $IP_раб_серв
> iptables -I FORWARD 1 -i eth0 -o eth0 -d $IP_тест_серв -p tcp
> -m tcp --dport 9090 -j ACCEPT

для ответных пакетов правило добавьте и тогда не нужно будет удалять
>[оверквотинг удален]
> :FORWARD ACCEPT [1:10000]
> :OUTPUT ACCEPT [42026:9681910]
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A INPUT -p icmp -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 22
> -j ACCEPT
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> COMMIT

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру