Сайт в локали из внешки

[Sher-Khan]

Что имеем:
В офисе сервер Ubuntu, 2 сетевые карты: интернет+локал, настроена раздача интернета в локальную сеть. Настроен динднс(т.е. имеем постоянный адрес с переменным ип).
Задача:
В на локальном компе есть сайт на который надо получить доступ с внешки. Как это реализовать?
У сайта может быть множество веток. Пример: domain.ru/1; domain.ru/2; domain.ru/2/a и т.п.
надо чтобы все переадресовывалось на локальную машину

[alex-f13]

попробуй такую схемму

Код: [Выделить]

#перенаправляем пакеты пришедшие на определенный порт из внешки на внутренний ойпи и обратно
iptables -t nat -A PREROUTING -p tcp -d "внешний ойпи" --dport "порт" -j DNAT --to-destination "внутренний ойпи:порт"
iptables -t nat -A POSTROUTING -p tcp --dst "внутренний ойпи" --dport 80 -j SNAT --to-source "внешний ойпи

[Sher-Khan]

Проблема в том что внешний ip динамический, наверно надо писать ч/з сетевой интерфейс
не подскажешь как это будет выглядеть?
(зы я уже пробовал так, но может что-то не правильно пишу)

обусловимся:
eth0-внешка
eht1-локаль
192.168.33.33-ип внутреннего компа на котором лежит сайт

[solmedas]

сервер живет за роутером или одна из сетевух получает внешнюю динамику?

[aSmile]

-i eth0 вместо -d "внешний айпи"
и вторая: (не уверен что нужна, т.к. наверное уже есть)
iptables -t nat -A POSTROUTING -p tcp -o eth0 -s "внутренний ойпи" --sport 80 -j  MASQUERADE
Пользователь решил продолжить мысль 14 Октября 2010, 12:27:57:а еще лучше почитать про DNAT

[Mam(O)n]

Вторая не нужна, если шлюз дефолтный он же. Тем более это будет скрывать реальные ip адреса клиентов из инета...

[Sher-Khan]

eht0 получает внешний динамический ип

[Sher-Khan]

Вся эта конструкция работала как-то периодично(

а сейчас вообще перестала. есть какие-либо советы?

[aSmile]

Что конкретно перестало? И покажи iptables-save

[Sher-Khan]

жесткий диск полетел пришлось сервер переиначивать, но проблема осталась

eth1 локаль
eth2 инет



iptables-save:

*nat
:PREROUTING ACCEPT [62582:4228169]
:OUTPUT ACCEPT [9073:589202]
:POSTROUTING ACCEPT [164:10374]
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.66:80
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Tue Mar  1 17:43:12 2011
# Generated by iptables-save v1.4.4 on Tue Mar  1 17:43:12 2011
*filter
:INPUT ACCEPT [1091100:802655441]
:FORWARD ACCEPT [56021:3794195]
:OUTPUT ACCEPT [1165527:802066897]
-A FORWARD -s 192.168.10.0/24 -i eth2 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Mar  1 17:43:12 2011
# Generated by iptables-save v1.4.4 on Tue Mar  1 17:43:12 2011
*mangle
:PREROUTING ACCEPT [4246808:1957451746]
:INPUT ACCEPT [1091101:802655481]
:FORWARD ACCEPT [3154719:1154740315]
:OUTPUT ACCEPT [1165528:802067373]
:POSTROUTING ACCEPT [4320247:1956807688]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Mar  1 17:43:12 2011

[AnrDaemon]

-A POSTROUTING -o eth2 -j MASQUERADE

-A FORWARD -s 192.168.10.0/24 -i eth2 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
Что за бред? -s локалка -i инет ? Сам видишь, что пишешь?

[Sher-Khan]

а можно подробнее что же тут не так?)
желательно как для чайника

[AnrDaemon]

Подробнее - man iptables по указанным ключам.

[Sher-Khan]

Спс за подсказку. Едиственное что я понял что делал все слишком сложно.


Тут есть статья, где рассказывается как быстро расшарить интернет на локальные компы (https://forum.ubuntu.ru/index.php?topic=107492.0   вот тут вот)

 
Теперь собственно я добился той ситуации как и раньше:
После прописывания правил они начинают работать ч/з какой-то довольно продолжительный период времени, после перезагрузки шлюза правило перестает работать(доступа до сайта на локальной машине нету)

# iptables-save

# Generated by iptables-save v1.4.4 on Thu Mar 10 19:59:05 2011
*mangle
:PREROUTING ACCEPT [15208235:8076756533]
:INPUT ACCEPT [1038978:68620951]
:FORWARD ACCEPT [14168764:8008106850]
:OUTPUT ACCEPT [1029690:82224408]
:POSTROUTING ACCEPT [15198454:8090331258]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu  #это автоматом прописывается при поднятии ppp0
COMMIT
# Completed on Thu Mar 10 19:59:05 2011
# Generated by iptables-save v1.4.4 on Thu Mar 10 19:59:05 2011
*nat
:PREROUTING ACCEPT [1593468:112785936]
:POSTROUTING ACCEPT [39:1964]
:OUTPUT ACCEPT [2373:167992]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.66:80   #то правило, которое обеспечивает видимость локального сайта из внешки
-A POSTROUTING -o ppp0 -j MASQUERADE                        #собственно единственное правило, которое я прописал чтобы раздать интернет на локальные машины
COMMIT
# Completed on Thu Mar 10 19:59:05 2011
# Generated by iptables-save v1.4.4 on Thu Mar 10 19:59:05 2011
*filter
:INPUT ACCEPT [1038978:68620951]
:FORWARD ACCEPT [14168766:8008107006]
:OUTPUT ACCEPT [1029691:82224756]
COMMIT
# Completed on Thu Mar 10 19:59:05 2011


В чем проблема?
Пользователь решил продолжить мысль 10 Марта 2011, 15:16:20:Ну и господа, попутно возник вопрос:

Есть сайт замечательный dyndns.com
Вот на этот сайт заходит(по http), но он не пингуется и клиент(ddclient) к нему не подключается

в чем может быть косяк?

[AnrDaemon]

Пинг конечного узла - вещь не самая надежная.
Почему у тебя не работет, сказать сложно. (В предположении, что форвардинг включен в ядре).