Форум русскоязычного сообщества Ubuntu


Автор Тема: Сайт из локальной сети не открывается,снова IPtables  (Прочитано 3203 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн iacovpavlovich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Просьба не отсылать на сторонние сайты или тыкать носом в уже существующие темы, а помочь в этой теме.
Перечитал много литературы, забил себе голову много чем... нашел примерно то , что нужно, но запутался  Прошу помощи в написании правил, пож-ста.

Задача:
Есть квартира в которой получаю интернет от городского провайдера локальной сети.
Т.е Локальная сеть X-net предоставляет мне интернет
по ip: 192.168.10.5 также купил внешний ip: xxx.xxx.xxx.xxx
Дома есть сервер, который должен работать в качестве шлюза и раздавать интернет,
 при этом на нем есть сайт соответственно на 80 порту.

Настроил интернет, не могу настроить NAT IPTABLES...
Сайт из вне доступен по site.ru по внешнему ip: xxx.xxx.xxx.xxx все замечательно
Пытаюсь зайти на сайт из локальной сети т.е. дома...тут проблема ...и все кто пользуется Локальной сетью X-net не видят сайт.у всех ip 192.168.x.x я так понимаю.
Вот решение казалось бы...http://www.it-simple.ru/?p=2250
но я не понимаю....
внешний интерфейс шлюза-em1
xxx.xxx.xxx.xxx-внешний ip
192.168.010.005-частный ip провайдера
внутренний интерфейс шлюза-em2 раздает ip 10.10.50.1

Помогите пож-ста, прошу написать готовые правила чтобы все работало, обязуюсь потом выучить основы iptables и NAt


вот
мой iptables-save:

# Generated by iptables-save v1.4.21 on Wed Nov 30 21:03:48 2016
*nat
:PREROUTING ACCEPT [1421:294018]
:INPUT ACCEPT [1421:294018]
:OUTPUT ACCEPT [4527:271389]
:POSTROUTING ACCEPT [4527:271389]
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.010.005:80
-A POSTROUTING -d 192.168.010.005/32 -p tcp -m tcp --dport 80 -j SNAT --to-source xxx.xxx.xxx.xxx:80
COMMIT
# Completed on Wed Nov 30 21:03:48 2016
# Generated by iptables-save v1.4.21 on Wed Nov 30 21:03:48 2016
*filter
:INPUT ACCEPT [47726:47371197]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [235065:35004831]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i em2 -o em1 -j ACCEPT
-A FORWARD -i em1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i em1 -o em2 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i em1 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT

« Последнее редактирование: 01 Декабря 2016, 23:08:41 от iacovpavlovich »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Просьба не отсылать на сторонние сайты или тыкать носом в уже существующие темы
Это как так-то? В теме чайника не послать его в man iptables или в Iptables tutorial?

Задача ясна, а вот её условия описаны на тарабарском. Давайте переводит на русский.. ну или хотя бы техничский.
Поможет нам в этом простейшая дополнительная диагностика ip a;ip r (не забываем всю эту мутоту завернуть в теги и , как и выхлоп правил в первом сообщении)

Вроде по описанию шлюз и есть http-сервер. То есть он имеет на борту белый IP и демона-апача(ну или другого http-сервера). Тогда зачем ему нужны всякие prerouting-и и, тем более, postrouting-и?

Или нужен nat для локалки? Тогда при чём здесь http-сервер?
Есть, конечно, оговорочка, когда в такой схеме требуется доступ к http-серверу из локальной сети по внешнему адресу, но это в туториалах отдельным абзацем описано.

обязуюсь потом выучить основы iptables и NAt
Ага, рассказывать эти байки будете друзьям за рюмкой чая. Если уж когда нужда требует Вы не изучаете, то уж когда всё заработает...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
диагностику так и не увидим?
Сколько угодно злитесь, но без неё мы слабо представляем Ваш узел и сеть и не сможем помочь. Даже после её получения у нас могут остаться вопросы по строению сети. Но хотя бы с неё начать...

Что есть в Вашем понимании "частный IP"?
Что есть строка
интерфейс em2 -10.10.50.1 шлюз
если обычно под шлюзом понимается САМО устройство, а не какой-то его интерфейс или IP.

Пользователь добавил сообщение 30 Ноября 2016, 23:55:43:
листинги надо заворачивать в теги code и spoiler
« Последнее редактирование: 30 Ноября 2016, 23:55:43 от fisher74 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Как настроить nat для раздачи интернета уважаемый AnrDaemon уже показал. Собственно Вам нужен пункт II (с поправкой на адресацию локалки). Что либо добавлять к тому гайду или дополнять смысла никакого нет, как и переписывать её сюда.
Что касается доступа к сайту из локальной сети (видимо имеется ввиду по внешнему адресу)... тут проблема. Судя по всему провайдер белый адрес пробрасывает на Ваш адрес. По идее после настройки Вашего nat-а должно всё заработать безо всяких костылей

Оффлайн iacovpavlovich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Есть сервер, который является шлюзом- он раздает интернет в локальную сеть, также на нем висит сайт

1-Интернет приходит на Шлюз, на интерфейс Em1 по    ip 192.168.87.9 -внешний адрес шлюза "белый" x.x.x.x
2-Шлюз Раздает интернет в мою локальную сеть на интерфейсе Em2 по ip 10.10.50.1

Объясняю проблему:
Захожу в интернет например с телефона по 3g на свой сайт site.ru по ip x.x.x.x:80 все хорошо
Любой клиент,который находиться в сети 192.168.87.0 на сайт по белому ip x.x.x.x зайти не может

Прошу помощи как правильно прописать правила IPTABLE?
если клиент заходит из локальной сети 192.168.87.0 и вбивает site.ru т.е x.x.x.x:80
чтобы ip менялся на ip 192.168.87.9:80 тогда сайт откроется

походу никто не поможет

« Последнее редактирование: 02 Декабря 2016, 00:39:52 от iacovpavlovich »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Никак. Зачем это вам? Проблем мало, что ли?
Если хотите ходить внутри сети по внешнему ИМЕНИ, читайте https://help.ubuntu.ru/wiki/bind/fakeresolve
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
iacovpavlovich, Вы nat для раздачи интернета в локалку настроили?

Оффлайн iacovpavlovich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Я сам уже не рад...
Сам сервер находиться дома, получается он сам в локальной сети провайдера 192.168.87.0/255
На нем установлен сайт, доступ к сайту по внешнему ip из вне локалки провайдера доступен.
кто находиться в локальной сети, не могут зайти на сайт(сосед по квартире)
На сервере был настроен Nat я его использовал как роутер для раздачи интернета по квартире.(по сути уже нет необходимости)
Сейчас есть необходимость добавить доступ к сайту и пользователям сети в которой находиться сам сервер.
Интернет настроен просто, вбил настройки выданные провайдером и впринципе сайт работает из вне.
А вот , доп доступ из локалки никак не настроить...

Локальная сеть провайдера 192.168.87.222=внешний ip xxx.xxx.xxx.xxx
моя локальная сеть 10.10.50.1 в нее я расшарил интернет при помощи natA
« Последнее редактирование: 04 Декабря 2016, 12:09:52 от iacovpavlovich »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Я давал ссылку, вы её прочитали? Хотя бы первое сообщение?
Диагностику с вашего сервера мы увидим?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн iacovpavlovich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Много что пробовал...удалил bind9 , установлен dnsmasq думал через него...
Вашу ссылку не прочел еще...
Напишите пож-ста какую команду вбить , чтобы диагностику выдало?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Напишите пож-ста какую команду вбить , чтобы диагностику выдало?
То есть Вы не читаете, что пишут Ваши собеседники...

Оффлайн iacovpavlovich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Читаю)
root@zonazip:~# ip a;ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 54:04:a6:d3:fd:b4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.87.9/26 brd 192.168.87.255 scope global em1
       valid_lft forever preferred_lft forever
    inet6 fe80::21e:67ff:fea2:5a67/64 scope link
       valid_lft forever preferred_lft forever
3: em2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000
    link/ether 00:1e:67:a2:5a:68 brd ff:ff:ff:ff:ff:ff
    inet 10.10.50.1/8 brd 10.255.255.255 scope global em2
       valid_lft forever preferred_lft forever
4: em3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 00:1e:67:a2:5a:69 brd ff:ff:ff:ff:ff:ff
5: em4: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 00:1e:67:a2:5a:6a brd ff:ff:ff:ff:ff:ff
default via 192.168.87.1 dev em1
10.0.0.0/8 dev em2  proto kernel  scope link  src 10.10.50.1
192.168.87.0/26 dev em1  proto kernel  scope link  src 192.168.87.9

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Другими словами, ваш вопрос должен решаться на том компьютере, на котором ваш IP адрес физически находится.
AKA на стороне провайдера.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн iacovpavlovich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Странно конечно...
Физически сайт на моём сервере и ip сервера внешний, и доступ к сайту есть
                                 
 Буду искать и пробовать...
все равно спасибо , что уделили время)
с меня сумма в копилку для сервера на форум)

 

Страница сгенерирована за 0.033 секунд. Запросов: 25.