The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables dnat snat"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"iptables dnat snat"  +/
Сообщение от truetrue (ok) on 03-Июн-10, 09:46 
всем добрый день.
столкнулся с проблемой настройки маршрутизатора.

маршрутизатор под testing kernel 2.6.32.
eth1 - внешний интерфейс
eth2 - внутренний интерфейс
локалка - 192.168.0.0/24
внешний ip - 12.34.56.78
192.168.0.25 - сервер в локалке, на котором крутится несколько сервисов.

Задача: раздать интернет юзерам, пробросить порты до 192.168.0.25.

Скрипт для iptables:

#!/bin/sh
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#SNAT
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 22 -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 80 -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING  -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 12.34.56.78

#DNAT
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 12.34.56.78 --dport 22 -j DNAT --to 192.168.0.25:22
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 12.34.56.78 --dport 80 -j DNAT --to-destination 192.168.0.25:80

#NAT_OUTPUT
iptables -t nat -A OUTPUT -d 12.34.56.78 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.25
iptables -t nat -A OUTPUT -d 12.34.56.78 -p tcp --dport 22 -j DNAT --to-destination 192.168.0.25

#FORWARD_FILTER
iptables -A FORWARD -j DROP -p udp -m length --length 20:70 -m string --hex-string "|7F FF FF FF|" --algo kmp --from 32 --to 44
iptables -A FORWARD -j DROP -p tcp -m multiport --dports 135,139,445
iptables -A FORWARD -j DROP -p udp -m multiport --dports 137,138

#INPUT_FILTER
iptables -A INPUT -s 127.0.0.1/32 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 5222 -j ACCEPT
iptables -A INPUT -p tcp --dport 5222 -j DROP

а не получается следующее:
при обращении из локалки на сайт, который крутится на 192.168.0.25, получаем шишь.

подскажите, где ошибка?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables dnat snat"  +/
Сообщение от Slimm (??) on 03-Июн-10, 11:44 
#SNAT
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 22 -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 80 -j SNAT --to-source 192.168.0.1

а это зачем?
у вас похоже и из интернета доступа нету к серверу

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "iptables dnat snat"  +/
Сообщение от reader (ok) on 03-Июн-10, 12:08 
>#SNAT
>iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 22 -j
>SNAT --to-source 192.168.0.1
>iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 80 -j
>SNAT --to-source 192.168.0.1
>
>а это зачем?
>у вас похоже и из интернета доступа нету к серверу

если из локалки обращаются на сайт через  12.34.56.78 , то это нужно иначе ответы пойдут не через шлюз . 192.168.0.1 я так понимаю адрес шлюза.

по поводу не работает, попробуйте убрать -i eth1 в #DNAT

если обращаются через 192.168.0.25, то вопрос не к шлюзу

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "iptables dnat snat"  +/
Сообщение от Slimm (??) on 03-Июн-10, 13:23 
>[оверквотинг удален]
>>SNAT --to-source 192.168.0.1
>>iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.25 --dport 80 -j
>>SNAT --to-source 192.168.0.1
>>
>>а это зачем?
>>у вас похоже и из интернета доступа нету к серверу
>
>если из локалки обращаются на сайт через  12.34.56.78 , то это
>нужно иначе ответы пойдут не через шлюз . 192.168.0.1 я так
>понимаю адрес шлюза.

обращается на 12.34.56.78, а натится то сурс адрес,
эти правила не нужны

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "iptables dnat snat"  +/
Сообщение от Slimm (??) on 03-Июн-10, 13:52 
а "убрать -i eth1 в #DNAT" это в точку!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "iptables dnat snat"  +/
Сообщение от truetrue (ok) on 03-Июн-10, 15:24 
>а "убрать -i eth1 в #DNAT" это в точку!

бинго! премного благодарен.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "iptables dnat snat"  +/
Сообщение от reader (ok) on 03-Июн-10, 15:36 
>[оверквотинг удален]
>>>
>>>а это зачем?
>>>у вас похоже и из интернета доступа нету к серверу
>>
>>если из локалки обращаются на сайт через  12.34.56.78 , то это
>>нужно иначе ответы пойдут не через шлюз . 192.168.0.1 я так
>>понимаю адрес шлюза.
>
>обращается на 12.34.56.78, а натится то сурс адрес,
>эти правила не нужны

если оставить адрес клиента в пакетах из локалки, то 192.168.0.25 ответ отправит напрямую клиенту и клиенту это не понравится, а так ответ пойдет через 192.168.0.1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру