[РЕШЕНО]Непонятки с перебросом портов

[Mam(O)n]

Хм. Значит по eth1 нет пиринга....

У меня закрадывается такое подозрение, что сервер №2 не имеет маршрута в интернет. Т.е. он не понимает, куда нужно отвечать, если удалённый адрес из инета.

[ravenyd123]

И мой IP подменяется первыйм сервером.

Это так и будет, если через локалку долбиться до сервера по внешнему адресу. Тут задача впринципе неразрешима, когда сервер №2 отказывается принимать пакеты с разных mac адресов, и из за этого приходится подменять адрес источника. Вообще, если по правильному, то нужно к серверу в локалке обращаться только по его локальному адресу.

А если с инета будут на сервер приходить, то адреса будут видны их родные, т.к. мы их не маскардим.

А из инета не заходит.

А у тебя может какой пиринг провайдер делает по eth1? Что в маршрутах прописано (route -n)? Может надо и выход с eth1 тоже маскардить?

Код: [Выделить]

iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE


Всеравно из инета не виден.

root@raven2:~# iptables-save
# Generated by iptables-save v1.4.4 on Sun Jan 23 12:16:16 2011
*filter
:INPUT ACCEPT [290356:25805150]
:FORWARD ACCEPT [147262:10000808]
:OUTPUT ACCEPT [326191:163128969]
-A FORWARD -s 192.168.66.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.66.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.66.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.66.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Jan 23 12:16:16 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 12:16:16 2011
*nat
:PREROUTING ACCEPT [235653:15213077]
:POSTROUTING ACCEPT [25325:1388176]
:OUTPUT ACCEPT [3471:220970]
-A PREROUTING -d 85.113.37.77/32 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.66.101:27015
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.66.0/24 -d 192.168.66.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A OUTPUT -d 85.113.37.77/32 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.66.101:27015
COMMIT
# Completed on Sun Jan 23 12:16:16 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 12:16:16 2011
*mangle
:PREROUTING ACCEPT [2263919:1186949854]
:INPUT ACCEPT [301143:26470415]
:FORWARD ACCEPT [1959228:1159758248]
:OUTPUT ACCEPT [336962:163850738]
:POSTROUTING ACCEPT [2296133:1323602082]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Jan 23 12:16:16 2011
root@raven2:~#

Пользователь решил продолжить мысль 23 Января 2011, 12:17:43:

Хм. Значит по eth1 нет пиринга....

У меня закрадывается такое подозрение, что сервер №2 не имеет маршрута в интернет. Т.е. он не понимает, куда нужно отвечать, если удалённый адрес из инета.

На втором тоже ubuntu стоит.
Как проверить можно?

[Mam(O)n]

На втором тоже ubuntu стоит.
Как проверить можно?

route -n

[ravenyd123]

На втором тоже ubuntu стоит.
Как проверить можно?

route -n

root@ubuntu:/cs/public/cstrike/logs# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.66.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1

[Mam(O)n]

Мои догадки подтвердились. Кроме сети 192.168.66.0 он дальше бегать не может. Пропиши шлюз по умолчанию.

[ravenyd123]

Мои догадки подтвердились. Кроме сети 192.168.66.0 он дальше бегать не может. Пропиши шлюз по умолчанию.

А какой мне его прописывать? Из локальной сети или тот что из внешки?

[Mam(O)n]

192.168.66.100, адрес твоего сервера №1, который является для твоей локалки шлюзом в инет.

[ravenyd123]

192.168.66.100, адрес твоего сервера №1, который является для твоей локалки шлюзом в инет.

Во! Заработало!!!! ) Спасибо большое.
Сервер теперь видит настоящие IP клиентов. Но, как и ранее предполагалось, вместо моего IP показывает 192.168.66.100

Еще раз спасибо)

[Mam(O)n]

Но, как и ранее предполагалось, вместо моего IP показывает 192.168.66.100

Есть конечно предположение, что такую конфигурацию рубит rp_filter на сервере №2. Попробуй отключить его sudo sysctl net.ipv4.conf.all.rp_filter=0, не перезагружая ничего, т.к. настройка только до перезагрузки действует. И убрать маскард из локалки в локалку на сервере:

Код: [Выделить]

sudo -D POSTROUTING -s 192.168.66.0/24 -d 192.168.66.0/24 -o eth0 -j MASQUERADE