Автор Тема: SOLVED: Вывести сервер за firewall (Прочитано 1437 раз)

loud · « : 21 Марта 2011, 06:59:44 »

Возможно это уже набившая оскомину тема, но я не нашел дополнительной информации как это сделать. Все что я нашел сводится к пробрасыванию портов для доступа снаружи внутрь по фэйковому порту с заменой на настоящий в DNAT. Мне же необходимо через шлюз на 10.10 вывести несколько серверов на внешние IP, предоставляемые провайдером.
Например имеем локальные сервера : 192.168.1.6, 192.168.1.2, ...
нужно полное маппирование скажем на адреса 82.232.101.35 и 82.232.101.38
на шлюзе 10.10 имеем /etc/network/interfaces:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Loopback
auto lo
iface lo inet loopback

# *************************************
# Primary (Public)
# *************************************

# --------------------------------
# gateway interface, itself
# Whole     : 84.232.102.32 - 84.232.102.47
# our range : 84.232.102.33 - 84.232.102.46
# --------------------------------
#     33 - cisco (provider)
# 34..46 - availible
# --------------------------------
auto eth0
iface eth0 inet static
        address   84.232.102.34
        network   84.232.102.32
        gateway   84.232.102.33
        broadcast 84.232.102.47
        netmask   255.255.255.240

# --------------------------------
# ASTERISK server address
# --------------------------------
auto eth0:1
iface eth0:1 inet static
        address   84.232.102.35
        network   84.232.102.35
        broadcast 84.232.102.35
        netmask   255.255.255.255

# --------------------------------
# WEB server address
# --------------------------------
auto eth0:2
iface eth0:2 inet static
        address   84.232.102.38
        network   84.232.102.38
        broadcast 84.232.102.38
        netmask   255.255.255.255

# *************************************
# Secondary (Local)
# *************************************
auto eth1
iface eth1 inet static
        address   192.168.1.1
        netmask   255.255.255.0
        network   192.168.1.0
        broadcast 192.168.1.255
        dns-nameservers 192.168.1.3

post-up /etc/fw

Необходимо чтобы это выглядело как будто сервер целиком находится до firewalla при взгляде со стороны интернета, но при этом бы доступен по своему локальному адресу со стороны локальной сети.
Помимо этого необходимо раздать интернет в локаль стандартным маскарадингом - это единственное что у меня получилось в данный момент.
Предвидится небольшое усложнение, чтобы один из серверов был виден из локальной сети используя внешний IP адрес. До этого момента я использовал аппаратный роутер и там всё это бегало, но теперь надо перевести на шлюз 10.10 т.к. требуются дополнительные возможности по фильтрации траффика.
Собственно вопрос:
дайте пожалуйста ссылки или советы howto.

xeon_greg · « **Ответ #1 :** 21 Марта 2011, 11:59:54 »

ну в твоем случае стало быть так

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth0 -d 84.232.102.35 -j DNAT --to-destination 192.168.1.6
sudo iptables -t nat -A PREROUTING -i eth0 -d 84.232.102.38 -j DNAT --to-destination 192.168.1.2

sudo iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.6 -j SNAT --to-source 84.232.102.35
sudo iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2 -j SNAT --to-source 84.232.102.38

первые 2 правила это из инета в локалку , вторые 2 - наоборот, ну и сооотв. добавить необходимые правила в FORWARD

Пользователь решил продолжить мысль 21 Марта 2011, 12:06:44:

а да и для инета

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx

где xxx.xxx.xxx.xxx один из тех фиксированных ip через который хочешь выпускать в инет ну и опять же необходимое правило в FORWARD добавить

loud · « **Ответ #2 :** 21 Марта 2011, 16:56:26 »

xeon_greg спасибо, буду проверять этой ночью (т.к. эта сеть в работе) чтобы поменьше на клиентов влияло. По результатам отпишусь.

вопрос по поводу добавить необходимые правила в FORWARD

-A FORWARD -i eth0 -dst 84.232.102.35 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -dst 192.168.1.6 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

это так (для одного сервера) или видится как-то по другому ?

xeon_greg · « **Ответ #3 :** 21 Марта 2011, 17:01:46 »

вот это неверно

Цитировать

-A FORWARD -i eth1 -dst 192.168.1.6 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

проще гораздо можно

Код: [Выделить]

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -d 192.168.1.6 -j ACCEPT

Пользователь решил продолжить мысль 21 Марта 2011, 17:03:46:

только про политики цепочек не забывай , при политике ACCEPT все правила в них бессмысленны

loud · « **Ответ #4 :** 22 Марта 2011, 05:33:53 »

отлично, xeon_greg, спасибо, все работает. теперь вопрос про усложнение.
со стороны интернета web сервер работает прекрасно по адресу 84.232.101.38
но пользователь из нашей локальной сети 192.168.1.0/24 не может зайти по этому адресу ибо "The connection to the server was reset while the page was loading."
пинг на этот адрес из локальной сети есть. я подозреваю что это режектит firewall, хотя не понятно почему есть пинги.
на железном рутере (mikrotik) я нашел решение, но тут оно почему-то не катит, и сейчас я убрал его. Оно выглядело примерно так если перевести в язык iptables

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d 84.232.101.38 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -d 192.168.1.2 -j SNAT --to-source 192.168.1.1

где 1.2 - web server, 1.1 - данный настрайваемый шлюз

подскажи пожалуйста методологию, как отлаживать iptables ? (стыдно)
в частности интересует трафик попадающий в то или иное правило.
на всякий случай привожу iptables. видимо там есть что убрать и много что непонятно, будем читать.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Tue Mar 22 03:26:43 2011
*mangle
:PREROUTING ACCEPT [2854752:1286701424]
:INPUT ACCEPT [135515:11386294]
:FORWARD ACCEPT [2718029:1275121522]
:OUTPUT ACCEPT [86896:8124199]
:POSTROUTING ACCEPT [2786369:1280902041]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Mar 22 03:26:43 2011
# Generated by iptables-save v1.4.4 on Tue Mar 22 03:26:43 2011
*nat
:PREROUTING ACCEPT [231209:17450962]
:OUTPUT ACCEPT [971:60877]
:POSTROUTING ACCEPT [2438:139357]
-A PREROUTING -d 84.232.101.35/32 -i eth0 -j DNAT --to-destination 192.168.1.6
-A PREROUTING -d 84.232.101.38/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -p tcp -m tcp --dport 2210 -j DNAT --to-destination 192.168.1.250:2210
-A POSTROUTING -s 192.168.1.6/32 -o eth0 -j SNAT --to-source 84.232.101.35
-A POSTROUTING -s 192.168.1.2/32 -o eth0 -j SNAT --to-source 84.232.101.38
-A POSTROUTING -o eth0 -j SNAT --to-source 84.232.101.34
COMMIT
# Completed on Tue Mar 22 03:26:43 2011
# Generated by iptables-save v1.4.4 on Tue Mar 22 03:26:43 2011
*filter
:INPUT ACCEPT [135513:11386306]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [86826:8114259]
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 2210 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.1.6/32 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 192.168.1.6/32 -i eth0 -o eth1 -j ACCEPT
-A FORWARD -s 192.168.1.2/32 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth0 -o eth1 -j ACCEPT
COMMIT
# Completed on Tue Mar 22 03:26:43 2011

Гарри Кашпировский · « **Ответ #5 :** 22 Марта 2011, 08:09:52 »

Цитировать

Предвидится небольшое усложнение, чтобы один из серверов был виден из локальной сети используя внешний IP адрес.

Код: [Выделить]

# Whole     : 84.232.102.32 - 84.232.102.47
# our range : 84.232.102.33 - 84.232.102.46

Сеть 84.232.102.32/28 - это сеть выданная Вам провайдером? По идее вполне реализуется без iptables.
Например c помощью vlan

Код: [Выделить]

                                  net 84.232.102.32/28
                    vlanX          /
ISP <----> Gate <-------------> Switch
                    vlanY          \
                                  net 192.168.1.0/24

Стоит уточнить поддержку 802.11q свитчем.

xeon_greg · « **Ответ #6 :** 22 Марта 2011, 10:14:05 »

Цитата: loud от 22 Марта 2011, 05:33:53

отлично, xeon_greg, спасибо, все работает. теперь вопрос про усложнение.
со стороны интернета web сервер работает прекрасно по адресу 84.232.101.38
но пользователь из нашей локальной сети 192.168.1.0/24 не может зайти по этому адресу ибо "The connection to the server was reset while the page was loading."
пинг на этот адрес из локальной сети есть. я подозреваю что это режектит firewall, хотя не понятно почему есть пинги.
на железном рутере (mikrotik) я нашел решение, но тут оно почему-то не катит, и сейчас я убрал его. Оно выглядело примерно так если перевести в язык iptables
Код: [Выделить]
iptables -t nat -A PREROUTING -i eth0 -d 84.232.101.38 -j DNAT --to-destination 192.168.1.2 iptables -t nat -A POSTROUTING -d 192.168.1.2 -j SNAT --to-source 192.168.1.1 где 1.2 - web server, 1.1 - данный настрайваемый шлюзподскажи пожалуйста методологию, как отлаживать iptables ? (стыдно)
в частности интересует трафик попадающий в то или иное правило.
на всякий случай привожу iptables. видимо там есть что убрать и много что непонятно, будем читать.
(Нажмите, чтобы показать/скрыть)
Код: [Выделить]
# Generated by iptables-save v1.4.4 on Tue Mar 22 03:26:43 2011 *mangle :PREROUTING ACCEPT [2854752:1286701424] :INPUT ACCEPT [135515:11386294] :FORWARD ACCEPT [2718029:1275121522] :OUTPUT ACCEPT [86896:8124199] :POSTROUTING ACCEPT [2786369:1280902041] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu COMMIT # Completed on Tue Mar 22 03:26:43 2011 # Generated by iptables-save v1.4.4 on Tue Mar 22 03:26:43 2011 *nat :PREROUTING ACCEPT [231209:17450962] :OUTPUT ACCEPT [971:60877] :POSTROUTING ACCEPT [2438:139357] -A PREROUTING -d 84.232.101.35/32 -i eth0 -j DNAT --to-destination 192.168.1.6 -A PREROUTING -d 84.232.101.38/32 -i eth0 -j DNAT --to-destination 192.168.1.2 -A PREROUTING -p tcp -m tcp --dport 2210 -j DNAT --to-destination 192.168.1.250:2210 -A POSTROUTING -s 192.168.1.6/32 -o eth0 -j SNAT --to-source 84.232.101.35 -A POSTROUTING -s 192.168.1.2/32 -o eth0 -j SNAT --to-source 84.232.101.38 -A POSTROUTING -o eth0 -j SNAT --to-source 84.232.101.34 COMMIT # Completed on Tue Mar 22 03:26:43 2011 # Generated by iptables-save v1.4.4 on Tue Mar 22 03:26:43 2011 *filter :INPUT ACCEPT [135513:11386306] :FORWARD DROP [0:0] :OUTPUT ACCEPT [86826:8114259] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 2210 -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -m conntrack --ctstate NEW -j ACCEPT -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -s 192.168.1.6/32 -i eth1 -o eth0 -j ACCEPT -A FORWARD -d 192.168.1.6/32 -i eth0 -o eth1 -j ACCEPT -A FORWARD -s 192.168.1.2/32 -i eth1 -o eth0 -j ACCEPT -A FORWARD -d 192.168.1.2/32 -i eth0 -o eth1 -j ACCEPT COMMIT # Completed on Tue Mar 22 03:26:43 2011

зайти не можешь скорее всего из-за своего провайдера, поскольку где-то на каком-то из его шлюзов при передаче твоего запроса происходит коллизия, адрес источника совпадает с адресом назначения и такие пакеты убиваются. у себя на работе наблюдаю такую же картину имею 2 сатитки с 1 провайдера (правда через разные интерфейсы, но это особого значения в данном случае не имеет), так вот с одной статики не могу зайти на другую...по tracert можешь проследить через какой шлюз тебя выпускает провайдер по одной и 2 статике и все поймешь... а пинг отдает как раз тот самый шлюз
потом

Цитировать

:INPUT ACCEPT [135513:11386306]
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 2210 -j ACCEPT

вот это правило у тебя не имеет смысла , посколку политика в этой цепочке по умолчанию ACCEPT

Цитировать

-A PREROUTING -p tcp -m tcp --dport 2210 -j DNAT --to-destination 192.168.1.250:2210

в такого вида правилах желательно указывать входящий интерфейс , поскольку будет натится трафик на всех интерфейсах, в том числе где это и не нужно...
и еще чтобы тебе первое время легче ориентироваться попадает трафик в ту или иную цепочку смотри на счетчики пакетов в цепочках (они в квадратных скобках) iptables-save -c (будет их показывать) , iptables -L -n -v тоже

aSmile · « **Ответ #7 :** 22 Марта 2011, 14:49:11 »

Цитата: loud от 22 Марта 2011, 05:33:53

со стороны интернета web сервер работает прекрасно по адресу 84.232.101.38
но пользователь из нашей локальной сети 192.168.1.0/24 не может зайти по этому адресу ибо "The connection to the server was reset while the page was loading."

Надо прочитать про DNAT. Там есть пример с веб сервером как раз.

AnrDaemon · « **Ответ #8 :** 22 Марта 2011, 15:41:12 »

Цитата: xeon_greg от 21 Марта 2011, 17:01:46

вот это неверно
Цитировать
-A FORWARD -i eth1 -dst 192.168.1.6 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
проще гораздо можно
Код: [Выделить]
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.6 -j ACCEPT iptables -A FORWARD -o eth1 -i eth0 -d 192.168.1.6 -j ACCEPT

Не проще
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
?

loud · « **Ответ #9 :** 23 Марта 2011, 09:35:12 »

большое спасибо всем откликнувшимся, в том числе xeon_greg и особенно aSmile за конкретную ссылку на пункт 6.5.2. Действие DNAT в документации, где и описан мой случай. в результате чтобы локальный web север 192.168.1.2 был виден по адресу 84.232.101.38 как изнутри так и снаружи шлюза 192.168.1.1 необходимо

Код: [Выделить]

iptables -t nat -A PREROUTING -d 84.232.101.38 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.2 --dport 80 -j SNAT --to-source 192.168.1.1

требовалось некоторое время чтобы понять умом отличие

Код: [Выделить]

iptables -t nat -A PREROUTING -d 84.232.101.38 -j DNAT --to-destination 192.168.1.2
от
iptables -t nat -A PREROUTING -d 84.232.101.38 -i eth0 -j DNAT --to-destination 192.168.1.2

ибо в первом случае работает а во втором - нет. и только прочтя документ стало понятно что пакеты попадают под это правило с обоих интерфейсов

xeon_greg · « **Ответ #10 :** 23 Марта 2011, 10:18:17 »

немного уточню

Цитировать

iptables -t nat -A PREROUTING -d 84.232.101.38 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.2 --dport 80 -j SNAT --to-source 192.168.1.1

а зачем необходимо заходить из локальной сети на локальный web-сервер через такие дебри с двойным преобразованием адреса ? при том что на самом деле при таком подходе вход на него все равно выполняется локально

loud · « **Ответ #11 :** 23 Марта 2011, 10:36:22 »

Это необходимо в связи с содержимым web сервера, активный контент которого пляшет от адреса www.domain.com, т.е. от содержимого dns записи провайдера www.domain.com = 84.232.101.38. Короче говоря, если сейчас зайти на сайт по адресу 84.232.101.38 изнутри или снаружи, то всё выглядит хорошо, а если изнутри по адресу 192.168.1.2 - то все печально. Ну не печально, а некорректно отображается.

aSmile · « **Ответ #12 :** 23 Марта 2011, 10:39:41 »

Цитата: xeon_greg от 23 Марта 2011, 10:18:17

немного уточню
Цитировать
iptables -t nat -A PREROUTING -d 84.232.101.38 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.2 --dport 80 -j SNAT --to-source 192.168.1.1
а зачем необходимо заходить из локальной сети на локальный web-сервер через такие дебри с двойным преобразованием адреса ? при том что на самом деле при таком подходе вход на него все равно выполняется локально

Чтобы пользователи вводили не ip-адрес, а имя домена. Хотя, конечно, можно dns настроить.

Форум русскоязычного сообщества Ubuntu

Автор Тема: SOLVED: Вывести сервер за firewall (Прочитано 1437 раз)

loud

SOLVED: Вывести сервер за firewall

xeon_greg

Re: Вывести сервер за firewall

loud

Re: Вывести сервер за firewall

xeon_greg

Re: Вывести сервер за firewall

loud

Re: Вывести сервер за firewall

Гарри Кашпировский

Re: Вывести сервер за firewall

xeon_greg

Re: Вывести сервер за firewall

aSmile

Re: Вывести сервер за firewall

AnrDaemon

Re: Вывести сервер за firewall

loud

SOLVED: Вывести сервер за firewall

xeon_greg

Re: SOLVED: Вывести сервер за firewall

loud

Re: SOLVED: Вывести сервер за firewall

aSmile

Re: SOLVED: Вывести сервер за firewall