forum.opennet.ru

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Переадресация на другой компьютер при обращении на порт, MakPol (ok), 26-Июл-12, (0) [смотреть все]

нужна схема сети, с указанием IP-адресов хостов и их шлюзов, на всех участвующих, PavelR (ok), 10:35 , 26-Июл-12, (1) //

Кажись немного разобрался изначально конфиг у меня стандартный, прогоняю скрип, MakPol (ok), 11:09 , 26-Июл-12, (2) //

для ответных пакетов правило добавьте и тогда не нужно будет удалять gt оверкво, reader (ok), 11:20 , 26-Июл-12, (3)

попробуй так iptables -t nat -A PREROUTING -p tcp -d IP_раб_серв --dport 9090 -j, ipmanyak (ok), 11:44 , 26-Июл-12, (4) //

а получается POSTROUTING не нужен а добавление iptables -A OUTPUT -o eth0 -p t, MakPol (ok), 11:53 , 26-Июл-12, (5) //

gt оверквотинг удален при чем тут INPUT и OUTPUT с помощью DNAT подставили ip, reader (ok), 14:52 , 26-Июл-12, (6) //

Короче разобрался, настроил вот так к стандартному iptables добавил iptables -t , MakPol (ok), 15:06 , 26-Июл-12, (7)

Сообщения [Сортировка по времени | RSS]

6. "Переадресация на другой компьютер при обращении на порт" +/–

Сообщение от reader (ok), 26-Июл-12, 14:52

>[оверквотинг удален]
>> iptables -t nat -A PREROUTING -p tcp -d IP_раб_серв --dport 9090 -j
>> DNAT --to IP_тест_серв:9090
>> iptables -A INPUT -i eth0 -p tcp --dport 9090 -m state --state
>> NEW,ESTABLISHED -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 9090 -m state --state
>> ESTABLISHED -j ACCEPT
> а получается POSTROUTING не нужен?
> а добавление "iptables -A OUTPUT -o eth0 -p tcp --sport 9090
> -m state --state ESTABLISHED -j ACCEPT" что-то не помогло :( Только
> "iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited"
при чем тут INPUT и OUTPUT. с помощью DNAT подставили ip другой машины, пакет пойдет через FORWARD.
POSTROUTING - нужен т.к. в туже подсеть перенаправляете , разжевано
https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
а iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited помогает потому что на этом правиле режутся ответные пакеты, посмотрите счетчики, а лучше сделайте логирование.
так что пишите правило для ответных пакетов.
смотрите tcpdump

Ответить | Правка | Наверх | Cообщить модератору

7. "Переадресация на другой компьютер при обращении на порт" +/–

Сообщение от MakPol (ok), 26-Июл-12, 15:06

Короче разобрался, настроил вот так:
к стандартному iptables добавил:
iptables -t nat -A PREROUTING --dst $IP_new -p tcp --dport 9090 -j DNAT --to-destination $IP_old
iptables -t nat -A POSTROUTING --dst $IP_old -p tcp --dport 9090 -j SNAT --to-source $IP_new
iptables -I FORWARD 1 -i eth0 -o eth0 -d $IP_old -p tcp -m tcp --dport 9090 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT
вот и вся любовь и никакой iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited теперь убирать не нужно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	6. "Переадресация на другой компьютер при обращении на порт"	+/–
	Сообщение от reader (ok), 26-Июл-12, 14:52
	>[оверквотинг удален] >> iptables -t nat -A PREROUTING -p tcp -d IP_раб_серв --dport 9090 -j >> DNAT --to IP_тест_серв:9090 >> iptables -A INPUT -i eth0 -p tcp --dport 9090 -m state --state >> NEW,ESTABLISHED -j ACCEPT >> iptables -A OUTPUT -o eth0 -p tcp --sport 9090 -m state --state >> ESTABLISHED -j ACCEPT > а получается POSTROUTING не нужен? > а добавление "iptables -A OUTPUT -o eth0 -p tcp --sport 9090 > -m state --state ESTABLISHED -j ACCEPT" что-то не помогло :( Только > "iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited" при чем тут INPUT и OUTPUT. с помощью DNAT подставили ip другой машины, пакет пойдет через FORWARD. POSTROUTING - нужен т.к. в туже подсеть перенаправляете , разжевано https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET а iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited помогает потому что на этом правиле режутся ответные пакеты, посмотрите счетчики, а лучше сделайте логирование. так что пишите правило для ответных пакетов. смотрите tcpdump
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Переадресация на другой компьютер при обращении на порт"	+/–
	Сообщение от MakPol (ok), 26-Июл-12, 15:06
	Короче разобрался, настроил вот так: к стандартному iptables добавил: iptables -t nat -A PREROUTING --dst $IP_new -p tcp --dport 9090 -j DNAT --to-destination $IP_old iptables -t nat -A POSTROUTING --dst $IP_old -p tcp --dport 9090 -j SNAT --to-source $IP_new iptables -I FORWARD 1 -i eth0 -o eth0 -d $IP_old -p tcp -m tcp --dport 9090 -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT вот и вся любовь и никакой iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited теперь убирать не нужно.
	Ответить \| Правка \| Наверх \| Cообщить модератору