форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Перенаправление пакетов на другой хост (iptables) "
Сообщение от Alex on 27-Янв-03, 11:15  (MSK)
Добрый день All!!! Может кто делал перенаправление с одного хоста на другой посредством iptables? Правило типа этого: iptables -t nat -I  PREROUTING -i eth0 -p tcp  -d myserver --dport 25 -j DNAT --to-destination dstsmtpserver:25 Почему то не работает, может еще нужно что то прописать? Заранее при много благодарен
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Перенаправление пакетов на другой хост (iptables) "
Сообщение от harlan on 27-Янв-03, 11:54  (MSK)
>Добрый день All!!! > >Может кто делал перенаправление с одного хоста на другой посредством iptables? >Правило типа этого: >iptables -t nat -I  PREROUTING -i eth0 -p tcp  -d >myserver --dport 25 -j DNAT --to-destination dstsmtpserver:25 >Почему то не работает, может еще нужно что то прописать? >Заранее при много благодарен Можно посоветовать 1) канонические имена заменить на ip-адреса. Если в момент задания правила DNS недоступен, то правило не пропишется. 2) Проверить, включена ли поддержка config_ip_nf_nat в ядре.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Alex on 27-Янв-03, 12:36  (MSK)
	>>Добрый день All!!! >> > >Можно посоветовать >1) канонические имена заменить на ip-адреса. Если в момент задания правила DNS >недоступен, то правило не пропишется. Использую ip-адреса, просто здесь в вопросе для ясности использую канонические имена > >2) Проверить, включена ли поддержка config_ip_nf_nat в ядре. Включена как модуль И не работает:(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Alex on 27-Янв-03, 12:43  (MSK)
	>>>Добрый день All!!! >>2) Проверить, включена ли поддержка config_ip_nf_nat в ядре. >Включена как модуль >И не работает:( По lsmod: Module                   ipt_REJECT               ipt_LOG ipt_limit ipt_state       iptable_nat     ip_conntrack   iptable_filter ip_tables Может нужно еще что то подцепить?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Перенаправление пакетов на другой хост (iptables) "
Сообщение от Sasha Bury on 27-Янв-03, 13:14  (MSK)
>Добрый день All!!! > >Может кто делал перенаправление с одного хоста на другой посредством iptables? >Правило типа этого: >iptables -t nat -I  PREROUTING -i eth0 -p tcp  -d                  ^^^ Что это? >myserver --dport 25 -j DNAT --to-destination dstsmtpserver:25 >Почему то не работает, может еще нужно что то прописать? >Заранее при много благодарен Маскарадинг есть или нет?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Alex on 27-Янв-03, 13:25  (MSK)
	>>Добрый день All!!! >> >>Может кто делал перенаправление с одного хоста на другой посредством iptables? >>Правило типа этого: >>iptables -t nat -I  PREROUTING -i eth0 -p tcp  -d >             >     ^^^ >Что это? >>myserver --dport 25 -j DNAT --to-destination dstsmtpserver:25 >>Почему то не работает, может еще нужно что то прописать? >>Заранее при много благодарен > >Маскарадинг есть или нет? Зачем маскарадить, если нужно пакеты приходящие на 25 порт сервера, отправлять на почтовый сервер, который находится в той же сети. Сразу говорю что раньше веб сервер и почтовый сервер имели один и тот же IP, а сейчас это два разных сервера.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от harlan on 27-Янв-03, 14:08  (MSK)
	>Сразу говорю что раньше веб сервер и почтовый сервер имели один и >тот же IP, а сейчас это два разных сервера. Попробуй просто: iptables -t nat -A PREROUTING -i eth0 -d myserver -p tcp --dport 25 -j DNAT --to-destination dstsmtpserver По идее должен перебросить на dstsmtpserver по тому же порту (25) В крайнем случае поставь -j LOG и посмотри, как обрабатываются пакеты. И ещё, нет ли каких правил в других таблицах и цепочках, которые могут оказывать влияние на это правило? Напиши полную таблицу правил, тогда, возможно, ошибка станет заметной.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Alex on 27-Янв-03, 15:20  (MSK)
	>>Сразу говорю что раньше веб сервер и почтовый сервер имели один и >>тот же IP, а сейчас это два разных сервера. > >Попробуй просто: >iptables -t nat -A PREROUTING -i eth0 -d myserver -p tcp --dport >25 -j DNAT --to-destination dstsmtpserver > >По идее должен перебросить на dstsmtpserver по тому же порту (25) >В крайнем случае поставь -j LOG и посмотри, как обрабатываются пакеты. > Спасибо за совет.... Поставил -j LOG увидил что пакеты прилетают, а значит должны обрабатываться. Правда я видел прилетающие пакеты и по tcpdump. А вот отправляющих нет:( >И ещё, нет ли каких правил в других таблицах и цепочках, которые >могут оказывать влияние на это правило? Напиши полную таблицу правил, тогда, >возможно, ошибка станет заметной. Если правило стоит первым разве могут на него повлиять другие правила?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Sasha Bury on 27-Янв-03, 16:46  (MSK)
	>>>Сразу говорю что раньше веб сервер и почтовый сервер имели один и >>>тот же IP, а сейчас это два разных сервера. >> >>Попробуй просто: >>iptables -t nat -A PREROUTING -i eth0 -d myserver -p tcp --dport >>25 -j DNAT --to-destination dstsmtpserver >> >>По идее должен перебросить на dstsmtpserver по тому же порту (25) >>В крайнем случае поставь -j LOG и посмотри, как обрабатываются пакеты. >> >Спасибо за совет.... Поставил -j LOG увидил что пакеты прилетают, а значит >должны обрабатываться. Правда я видел прилетающие пакеты и по tcpdump. А >вот отправляющих нет:( >>И ещё, нет ли каких правил в других таблицах и цепочках, которые >>могут оказывать влияние на это правило? Напиши полную таблицу правил, тогда, >>возможно, ошибка станет заметной. >Если правило стоит первым разве могут на него повлиять другие правила? Блин только, что проверил все работает. Дай схему своей сети и откуда ты ведешь проверку. С каких машин в этой сети.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Varran on 27-Янв-03, 17:23  (MSK)
	[root@gateway ipv4]# ping 212.92.140.33 PING 212.92.140.33 (212.92.140.33) from 212.92.140.34 : 56(84) bytes of data. Warning: time of day goes back, taking countermeasures. #Что за сообщение кстати? вроде раньше таких не видел. 64 bytes from 212.92.140.33: icmp_seq=0 ttl=255 time=6.337 msec 64 bytes from 212.92.140.33: icmp_seq=1 ttl=255 time=6.367 msec
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Василий Свиридов on 27-Янв-03, 22:25  (MSK)
	Проверь файл /proc/sys/net/ipv4/ip_forwarding - я вчера 4 часа свою сетку дрючил, а оказалось, что ip_forwarding = 0. Если 0 - сделай echo 1 > /proc/sys/net/ipv4/ip_forwarding
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Перенаправление пакетов на другой хост (iptables) "
Сообщение от Mikhail on 28-Янв-03, 12:01  (MSK)
Forward еще разрешить неплохо бы... iptables -A FORWARD -i eth0 -d dstsmtpserver -p tcp --dport 25 -j ACCEPT
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Перенаправление пакетов на другой хост (iptables) "
	Сообщение от Alex on 28-Янв-03, 13:25  (MSK)
	>Forward еще разрешить неплохо бы... >iptables -A FORWARD -i eth0 -d dstsmtpserver -p tcp --dport 25 -j >ACCEPT Спасибо всем за советы.. В действительности же не хватало правила о котором упаминул Mikhail :).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.