|
Не предсказуемое поведение iptables | ||
|---|---|---|---|
|
0
brenli
17.05.13
✎
22:00
|
Всем привет.
Имеется 4 компа на предприятии на которые нужно пробросить порты, чтобы шлюз мог перенаправлять клиентов на них. Шлюз поднят на Ubuntu 12.04. Непонятка вот в чём. Внутри организации без проблем через терминалы можно подключиться к любому из перечисленных. Но маршрутизации работает как то не очевидно. iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 6200 -j DNAT --to-destination 10.0.0.30:1555 (изменен порт) iptables -A FORWARD -p tcp --dport 1555 -j ACCEPT работает, iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 6201 -j DNAT --to-destination 10.0.0.2:3389 (изменен порт) iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT работает iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 6201 -j DNAT --to-destination 10.0.0.62:3389 (изменен порт) iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT не работает (( Что делать куда глядеть незнаю. В локальной сети всё работает. |
||
|
1
MaxS
17.05.13
✎
22:12
|
2 и 3 порты пересекаются
|
||
|
2
Fragster
гуру
17.05.13
✎
22:24
|
а в INPUT что?
|
||
|
3
brenli
17.05.13
✎
22:46
|
(1) в посте не верно написал, порты не пересекаются.
|
||
|
4
brenli
17.05.13
✎
22:48
|
(2) INPUT причём? Я просто в одно правило подставляю разные адреса, одни работают другие нет. ((
Да и пакеты PREROUTING раньше проходят чем INPUT |
||
|
5
HeroShima
17.05.13
✎
22:52
|
>Да и пакеты PREROUTING раньше проходят чем INPUT
как они могли!? |
||
|
6
Torquader
17.05.13
✎
23:30
|
Десятая сеть (10.0.0.ХХ) какую маску имеет ?
Может быть, у вас 62 просто уже вне сети ? |
||
|
7
Ковычки
18.05.13
✎
12:26
|
форвард
прероут построут |
||
|
8
Asmody
18.05.13
✎
12:38
|
Смотрим на строчки 3 и 5, думаем, убиваемся об стену
|
||
|
9
Ковычки
18.05.13
✎
12:45
|
(8) в (3) говорят, что несколько иначе
|
||
|
10
brenli
18.05.13
✎
12:52
|
(8) Ошибочно тут указал одинаковые порты. На самом деле вообще правила эти враз все не включаю. К примеру нужно мне подключиться из дома к нужному компу я раскоментирую нужное и работаю, вот только 2 из них не как не цепляются.
|
||
|
11
brenli
18.05.13
✎
12:55
|
(7) http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg
вроде вначале проходит таблицу nat, а затем фильтр |
||
|
12
brenli
18.05.13
✎
13:00
|
Проблему решил.
У 62 был не прописан шлюз =) дабы не ходил он в инет, шлюз был не указан. Не думал что в этом может быть причина. На прямую из локальной сети он нормально работал. Ладно темку можно закрыть. Всем спасибо |
||
|
13
Fragster
гуру
18.05.13
✎
13:07
|
(12) можно не шлюз, можно snat вместе с dnat попробовать
|
||
|
14
Asmody
18.05.13
✎
13:11
|
Для разовых подключений лучше туннелировать порты в ssh, а для постоянных — поднять впн
|
||
|
15
Ковычки
18.05.13
✎
13:31
|
(13) шлюз у самого интерфейса на дистанции
|
||
|
16
Fragster
гуру
18.05.13
✎
14:10
|
(15) я так понял, что шлюз на самом терминале не прописан был, и когда на него приходили пакеты с обратным адресом из инета - он просто не знал, как на них отвечать
|
||
|
17
Fragster
гуру
18.05.13
✎
14:10
|
а если snat прописать, то как будто бы с прокси пакеты будут
|
||
|
18
MaxS
18.05.13
✎
15:31
|
(14) не всегда получается через 3G + vpn + rdp.
vpn периодически отваливается, маршрутизация сбивается, rdp пытается переподключиться и посылает пакеты не туда, vpn восстанавливается, rdp тем временем отключается. Если просто 3g + rdp, то показалось, что немного стабильнее. |
||
|
19
brenli
18.05.13
✎
20:08
|
(16) Правильно понял.
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|