Форум русскоязычного сообщества Ubuntu


Автор Тема: Настройка маршрутизации инет<->сеть  (Прочитано 639 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Xentar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Как я уже говорил с убунтой работать только начинаю поэтому не бейте сильно ногами, но ткните в сторону куда нужно смотреть.

Значит остался мне тут от предыдущего админа сервак, который работает достаточно стабильно, но потребовалось сделать переброску портов.

Наружу всё работает нормально. Слово новое узнал маскардинг.

Необходимо настроить переброс входящего трафика на внутренний айпи.

по комманде "iptables -L -t nat" выдает следующее:

раздел PREROUTING

target      prot op source                 destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:4991 to:192.168.1.1:3389
DNAT       tcp  --  anywhere             anywhere            tcp dpt:4993 to:192.168.1.6:3389
DNAT       tcp  --  anywhere             anywhere            tcp dpt:4994 to:192.168.1.73:5900
DNAT       tcp  --  anywhere             anywhere            tcp dpt:40440 to:192.168.1.1:3389
DNAT       tcp  --  anywhere             anywhere            tcp dpt:39000 to:192.168.1.1:3389
DNAT       tcp  --  anywhere             anywhere            tcp dpt:3010 to:192.168.1.1:3389


Причем первые 3 записи, созданные не мной, работают нормально, а вот последние 3, созданные мной, не хотят работать.
Хотя как видно они созданны по аналогии с первой, только используется различный входной порт.

Подскажите, в чем может быть дело, а то с понедельника уже глаза красные от монитора, читаю фак по IPTables, вроде как всё правильно, но не работает.)
« Последнее редактирование: 08 Июнь 2011, 22:28:12 от Xentar »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26258
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #1 : 08 Июнь 2011, 22:32:34 »
sudo iptables-save
вывод под спойлер.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Xentar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #2 : 08 Июнь 2011, 23:32:43 »
Ну вот собственно он :

(Нажмите, чтобы показать/скрыть)

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 14997
  • Я не слышу.
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #3 : 09 Июнь 2011, 00:37:23 »
192.168.1.1:3389 какие сервер порт 3389 программа?
4991, 4992, 4993, 40440, 3010 какие клиенты порты программы?
~.o

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26258
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #4 : 09 Июнь 2011, 00:47:04 »
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
Вообще-то должно быть
-A POSTROUTING -o eth1 -j MASQUERADE
если я правильно понял структуру сети.

И нету самого первого правила в nat/PREROUTING
-A PREROUTING -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

А вообще, если закрыть глаза на отсутствие всякой фильтрации левого трафика, должно работать.

Пользователь решил продолжить мысль 09 Июнь 2011, 00:47:51:
192.168.1.1:3389 какие сервер порт 3389 программа?
4991, 4992, 4993, 40440, 3010 какие клиенты порты программы?
Не тупи. Погугли. Хотя ответ и так очевиден. MSRDP 3389/tcp
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Xentar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #5 : 09 Июнь 2011, 01:38:53 »
Да вы правы это всего лишь RDP
Левый траффик потом фильтровать буду, когда дочитаю этот адский мануал.)
По поводу RDP я разобрался когда вышел с работы. Народ из вне тупил по страшному. Говорят одно, делают другое. :-\

Вопрос еще одни по этой конфигурации. Есть IP устройство, камера (в данной конфигурации не прописанна) у неё есть http интерфейс (Веб сервер встроенный 80 порт)
Как я понимаю, если я её пропишу по аналогии с RDP сервером - должно работать?
Но не работает.
Из за чего может быть?

ЗЫЖ.
Цитировать
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
Вообще-то должно быть
-A POSTROUTING -o eth1 -j MASQUERADE
если я правильно понял структуру сети.
eth1 - это до провайдера тянется, eth0 - локальная сеть
А чем то что сделанно плохо?
На сколько я понимаю то что сделанно у меня - выборка пакетов по источнику, и источником указанна локальная сеть.
А то что вы предлагаете, как я понял - перенаправление пакетов в выходной интерфейс eth1 c маскардингом? поправьте меня если я не прав.
« Последнее редактирование: 09 Июнь 2011, 01:57:48 от Xentar »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26258
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #6 : 09 Июнь 2011, 02:01:58 »
Должно работать, но - камера может фильтровать трафик из чужой сети.
Нужно смотреть внимательно на спецификации.

По поводу "-s сеть" против "-o интерфейс" - совсем недавно была тема
https://forum.ubuntu.ru/index.php?topic=155824.0
Ты маскарадишь не "определённую сеть", а "трафик, уходящий с определённого интерфейса".
Отсюда и разница.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Xentar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Настройка маршрутизации инет<->сеть
« Ответ #7 : 09 Июнь 2011, 09:34:47 »
Огромнейшее спасибо!

Пользователь решил продолжить мысль 10 Июнь 2011, 11:30:22:
AnrDaemon, буду очень благодарен если подскажешь еще одну вещь.

по поводу той же камеры. с настройками у неё вроде всё правильно.

К камере можно обратиться из локальной сети напрямую, или если прописать подобным RDP образом, можно так же кинуть запрос через сервер из внутренней сети.

т.е. или 192.168.1.55:80
или 192.168.1.2:55050
но если попытаться обратиться *внешний IP*:55050  - то выдает ошибку о невозможности подключения.

(Нажмите, чтобы показать/скрыть)

Причем по тому мануалу что я читаю, написан аналогичный пример для HTTP сервера.
Но там описано что подключение через сервер из локальной сети невозможно.


ТЕМА ЗАКРЫТА ! Я ВО ВСЁМ РАЗОБРАЛСЯ !! ВСЕМ СПАСИБО !!!
« Последнее редактирование: 10 Июнь 2011, 15:23:52 от Xentar »

 

Страница сгенерирована за 0.06 секунд. Запросов: 24.