Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: [РЕШЕНО] старый добрый проброс портов...  (Прочитано 2423 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн red_sam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Здравствуйте
имею дома шлюз на Ubuntu сервер он раздает инет во внутреннюю сеть и десктоп
часто с работы цепляюсь до домашнего десктопа. Раньше десктоп стоял под виндой и на шлюзе был проброшен 3389 и все работало.
Щас на десктопе Ubuntu 10,10 поднял vnc server порт по умолчанию оставил.
Сделал на шлюзе проброс на порты 5900 и 5901 и нифига проброс не работает  :idiot2:
вот sudo iptables -L на шлюзе
(Нажмите, чтобы показать/скрыть)
чтобы проветь поднят ли ВНЦ на десктопе использовал телнет (конектился со шлюза)
(Нажмите, чтобы показать/скрыть)
из внешней сети порты не видны
В общем не могу понять-с в чем-с дело?
подскажите где я затупил? что не доделал?
==================================
Я просто затупил, а кому интересно почитать как это  сделать
http://www.opennet.ru/base/net/nat_redirect.txt.html
« Последнее редактирование: 22 Апреля 2011, 17:58:11 от red_sam »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: старый добрый проброс портов...
« Ответ #1 : 22 Апреля 2011, 16:01:36 »
iptables-save показывайте.
А проще в поиск по DNAT
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн red_sam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: старый добрый проброс портов...
« Ответ #2 : 22 Апреля 2011, 17:44:25 »
капец... вот я и понял где затупил - пропустил одну цифру во внешнем айпи
iptables-save
(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль 22 Апреля 2011, 17:54:47:
AnrDaemon Спасибо все заработало   :)
Меня просто заклинило
« Последнее редактирование: 22 Апреля 2011, 17:54:47 от red_sam »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: старый добрый проброс портов...
« Ответ #3 : 22 Апреля 2011, 17:59:05 »
-A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Неверно.
Надо наоборот и не так.

-A FORWARD -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 ! -d 192.168.0.0/16 -j ACCEPT



-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5901 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5902 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5903 -j ACCEPT

Всё ЭТО перекрывается одним правилом
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT


В nat опять же забыл

-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

И нахрена тебе там
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/13 -j MASQUERADE
? Оба правила не нужны вообще.

И зачем вообще тратить ресурсы на маскарадинг? SNAT пропиши.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн red_sam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: [РЕШЕНО] старый добрый проброс портов...
« Ответ #4 : 23 Апреля 2011, 10:58:37 »


-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5901 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5902 -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i eth0 -p tcp -m tcp --dport 5903 -j ACCEPT

Всё ЭТО перекрывается одним правилом
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
не перекрывается, попробовал

И нахрена тебе там
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/13 -j MASQUERADE
? Оба правила не нужны вообще.

И зачем вообще тратить ресурсы на маскарадинг? SNAT пропиши.
без них почему то  не работает

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [РЕШЕНО] старый добрый проброс портов...
« Ответ #5 : 23 Апреля 2011, 15:18:26 »
не перекрывается, попробовал
Показывай, как попробовал. Ибо у меня, почему-то, работает. И у других. Тоже.

Цитировать
И нахрена тебе там
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/13 -j MASQUERADE
? Оба правила не нужны вообще.

И зачем вообще тратить ресурсы на маскарадинг? SNAT пропиши.
без них почему то  не работает
Показывай полностью структуру сети, с адресами серверов и шлюзов. Будем выяснять, почему "то" не работает.
Шлюз по умолчанию на клиентах вообще прописан?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн red_sam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: [РЕШЕНО] старый добрый проброс портов...
« Ответ #6 : 24 Апреля 2011, 18:51:57 »
Итак... с маскарадингом покончено
вот iptables-save
(Нажмите, чтобы показать/скрыть)

итог: инет раздается во внутреннюю сеть, порты не проброшены
... пробрасываю 3389
sudo iptables -t nat -A PREROUTING -p tcp -d 90.157.110.9 --dport 3389 -j DNAT --to-destination 192.168.0.12:3389
sudo iptables -A FORWARD -i eth0 -d 192.168.0.12 -p tcp --dport 3389 -j ACCEPT
конекта нет
пишу
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/13 -j MASQUERADE
и все работает

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [РЕШЕНО] старый добрый проброс портов...
« Ответ #7 : 24 Апреля 2011, 19:10:03 »
Шлюз по умолчанию на клиентах вообще прописан?
...
« Последнее редактирование: 24 Апреля 2011, 19:26:15 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн red_sam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: [РЕШЕНО] старый добрый проброс портов...
« Ответ #8 : 24 Апреля 2011, 19:18:00 »
Извините
Шлюз на клиентах прописан (192,168,0,1)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [РЕШЕНО] старый добрый проброс портов...
« Ответ #9 : 24 Апреля 2011, 19:26:30 »
https://forum.ubuntu.ru/index.php?topic=148437.msg1091261#msg1091261
Под спойлером ответ.
Это всё будет работать, если форвардинг делается на шлюзе.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.031 секунд. Запросов: 25.