Автор Тема: iptables и вебсервер (Прочитано 1610 раз)

Aristotel · « : 02 Июля 2011, 13:45:53 »

Помогите разобраться с проблемой:
в сети есть сервер (контроллер домена win2008, на нем же стоит IIS) и прокси сервер (ubuntu)
____________________________ _____________________________
| Сервер КД | | прокси-сервер |
| интерфейс 192.168.1.5 |<--------------->| интерфейс1 192.168.1.1 |
| сайт IIS слушает порт 80 | | интерфейс2 ххх.ххх.ххх.ххх |<----------->интернет
|___________________________ | | Apache (для тестирования)*:80 | (выделенное доменое
|____________________________| имя на порт 8181)

так вот, на прокси-сервере я пытаюсь настроить переброс порта на IIS (Сервер КД), но сайт из интернета не открывается
хотя если я пернаправляю на тот же прокси сервер (в интерфейс 192....*:80), то все нормально работает и "сайт" открывается

IPTABLES

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sat Jul  2 12:40:01 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
COMMIT
# Completed on Sat Jul  2 12:40:01 2011
# Generated by iptables-save v1.4.4 on Sat Jul  2 12:40:01 2011
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 8181 -j DNAT --to-destination 192.168.1.16 
-A OUTPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 8181 -j DNAT --to-destination 192.168.1.16 
-A POSTROUTING -s 192.168.1.0/24 -d 212.192.128.3/32 -j MASQUERADE 
COMMIT
# Completed on Sat Jul  2 12:40:01 2011
# Generated by iptables-save v1.4.4 on Sat Jul  2 12:40:01 2011
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [1210:335205]
:FORWARD ACCEPT [39:2340]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [1452:196820]
COMMIT
# Completed on Sat Jul  2 12:40:01 2011

Скрипт

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh
#########
# VARIBLES #
########
IPT=/sbin/iptables
WAN_ADDR=xxx.xxx.xxx.xxx
WAN_DEV=eth0
LAN_DEV=eth1
LAN_GATE=192.168.1.1
LAN_SUBNET=192.168.1.0/24

$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
###########
# RESET RULES #
##########
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
# reset the default policies in the nat table.
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
# reset the default policies in the mangle table.
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT
# flush all the rules in the filter and nat tables.
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
# erase all chains that's not default in filter and nat table.
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
###########
# LOCAL RULES #
###########
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
#$IPT -A INPUT -m tcp -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT
###########
# NAT OUTPUT #
###########
#$IPT -t nat -I PREROUTING -i $WAN_DEV -s $WAN_ADDR -j ACCEPT
$IPT -t nat -A POSTROUTING -d 212.192.128.3 -s $LAN_SUBNET -j MASQUERADE
##########
# SERVER PUB #
##########
$IPT -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 8181 -j DNAT --to-destination 192.168.1.1:80
$IPT -t nat -A POSTROUTING -p tcp --dst 192.168.1.1 --dport 80 -j SNAT --to-source 192.168.1.0/24
$IPT -t nat -A OUTPUT --dst xxx.xxx.xxx.xxx -p tcp --dport 8181 -j DNAT --to-destination 192.168.1.1:80

##ЗДЕСЬ Я И МЕНЯЮ 192.168.1.1 на 192.168.1.5 НО НИФИГА НЕ РАБОТАЕТ

######
# SAVE #
######
iptables-save > /etc/iptables.rules
echo "1" > /proc/sys/net/ipv4/ip_forward

Unreg · « **Ответ #1 :** 02 Июля 2011, 19:04:03 »

Цитировать

# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.5
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A INPUT -i lo -j ACCEPT -v
-A INPUT -p icmp -j ACCEPT -v
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT -v
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -v
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -v
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT -v
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -v
-A FORWARD -s 192.168.1.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT -v
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -v
COMMIT
# Completed on Wed Oct 20 18:40:02 2010

Aristotel · « **Ответ #2 :** 02 Июля 2011, 21:51:22 »

это не работает,
да и разницы большой не вижу, только что берется не IP а интерфейс.
какая то странная ситуация, при подклюсении серва напрямую все работает, тестовый сайт на прокси работает, а перенаправление через прокси нет.
может дело не в iptables?

Гарри Кашпировский · « **Ответ #3 :** 02 Июля 2011, 22:06:45 »

Я не совсем понял, что требуется в итоге? Тупо перенаправить запросы из Интернета в Интранет? Или же сделать из Apache прокси для IIS?

Aristotel · « **Ответ #4 :** 02 Июля 2011, 22:28:02 »

есть два компа. один из них прокси (Squid внутри) и через него в интернет ходит второй комп c IIS сервером на борту.
в нете есть домен на порту 8181. надо чтобы я вводя в браузере этот домен попадал не на прокси а на сервер с IIS(через прокси)
Интернет(домен.ру)---->прокси(перенаправление c :8181 на любой другой на машину с IIS)---->сервер с IIS(собственно сайт)
домен.ру --------> [ xxx.xxx.xxx.xxx (прием с 8181) --> передача в подсеть 192.168.1.0/24 на машину 192.168.1.5] ---> IIS :any

вроде везде все хорошо но гдето косяк закрался

Гарри Кашпировский · « **Ответ #5 :** 02 Июля 2011, 22:41:02 »

iptables -t nat -I PREROUTING -i $wan_if -d $wan_ip -p tcp -m tcp --dport 8181 -j DNAT --to-destination 192.168.1.5:80
iptables -t nat -A POSTROUTING -o $wan_if -s 192.168.1.5/32 -j SNAT --to-source $wan_ip

Собственно вот.

Unreg · « **Ответ #6 :** 02 Июля 2011, 22:53:19 »

а проверить доступ при помощи любого анонимайзера забыли?
$ cat /proc/sys/net/ipv4/ip_forward
что даёт?

Aristotel · « **Ответ #7 :** 02 Июля 2011, 23:26:06 »

KT315 к сожалению не работает
Unreg комманда выдает 1 (я это устанавливал по инструкции). И что за анонимайзер? если это прокси в нете, то не катит, это гдето внутри моей сети я уверен на 99,9%

Гарри Кашпировский · « **Ответ #8 :** 03 Июля 2011, 00:07:03 »

А должно, только что проделал подобное (ради того, а не дурак ли я)

(Нажмите, чтобы показать/скрыть)

http://213.141.136.46:8002
Ну и пакетики забегали

Код: [Выделить]

root@router:~# iptables -t nat -nvL PREROUTING
Chain PREROUTING (policy ACCEPT 2637 packets, 148K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   248 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8002 to:192.168.10.171:80

Так что проверяй еще раз.

Aristotel · « **Ответ #9 :** 03 Июля 2011, 00:33:50 »

а ты все делал на одной машине или на 2 как у меня . потому что если я перенаправляю на самого себя только на другой интерфейс то все работает, а вот если на другую железку то нифига.

Гарри Кашпировский · « **Ответ #10 :** 03 Июля 2011, 01:04:55 »

Это на разных машинках.

AnrDaemon · « **Ответ #11 :** 03 Июля 2011, 02:38:35 »

Цитата: Aristotel от 03 Июля 2011, 00:33:50

а ты все делал на одной машине или на 2 как у меня . потому что если я перенаправляю на самого себя только на другой интерфейс то все работает, а вот если на другую железку то нифига.

Цитата: Unreg от 02 Июля 2011, 22:53:19

$ cat /proc/sys/net/ipv4/ip_forward
что даёт?

............

Unreg · « **Ответ #12 :** 03 Июля 2011, 09:58:55 »

Цитировать

выделенное доменое имя на порт 8181

- перевидите

если включить телепата

Цитировать

# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8181 -j DNAT --to-destination 192.168.1.5:80
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A INPUT -i lo -j ACCEPT -v
-A INPUT -p icmp -j ACCEPT -v
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT -v
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -v
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -v
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT -v
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -v
-A FORWARD -s 192.168.1.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT -v
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -v
COMMIT
# Completed on Wed Oct 20 18:40:02 2010

и при обращении из интернета к ххх.ххх.ххх.ххх:8181 должен открываться IIS

cmd /k netstat -an | find "LIST"
cmd /k ipconfig /all
cmd netstat -r
С КД давайте

Aristotel · « **Ответ #13 :** 03 Июля 2011, 20:50:29 »

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

cmd /k netstat -an | find "LIST" 
 TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:88             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:389            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:464            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:515            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:593            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:636            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1688           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3050           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3268           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3269           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3306           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5722           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8181           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:9750           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:13000          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:14000          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49156          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49158          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49159          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49170          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49173          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49182          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49192          0.0.0.0:0              LISTENING
  TCP    127.0.0.1:53           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:5939         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:30523        0.0.0.0:0              LISTENING
  TCP    192.168.1.5:53         0.0.0.0:0              LISTENING
  TCP    192.168.1.5:139        0.0.0.0:0              LISTENING
  TCP    192.168.1.16:53        0.0.0.0:0              LISTENING
  TCP    192.168.1.16:139       0.0.0.0:0              LISTENING
  TCP    [::]:80                [::]:0                 LISTENING
  TCP    [::]:88                [::]:0                 LISTENING
  TCP    [::]:135               [::]:0                 LISTENING
  TCP    [::]:445               [::]:0                 LISTENING
  TCP    [::]:464               [::]:0                 LISTENING
  TCP    [::]:515               [::]:0                 LISTENING
  TCP    [::]:593               [::]:0                 LISTENING
  TCP    [::]:1688              [::]:0                 LISTENING
  TCP    [::]:5722              [::]:0                 LISTENING
  TCP    [::]:8080              [::]:0                 LISTENING
  TCP    [::]:8181              [::]:0                 LISTENING
  TCP    [::]:49152             [::]:0                 LISTENING
  TCP    [::]:49153             [::]:0                 LISTENING
  TCP    [::]:49154             [::]:0                 LISTENING
  TCP    [::]:49156             [::]:0                 LISTENING
  TCP    [::]:49157             [::]:0                 LISTENING
  TCP    [::]:49158             [::]:0                 LISTENING
  TCP    [::]:49159             [::]:0                 LISTENING
  TCP    [::]:49170             [::]:0                 LISTENING
  TCP    [::]:49173             [::]:0                 LISTENING
  TCP    [::]:49182             [::]:0                 LISTENING
  TCP    [::]:49192             [::]:0                 LISTENING
  TCP    [::1]:53               [::]:0                 LISTENING

Код: [Выделить]

cmd /k ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : Atlantis
   Основной DNS-суффикс  . . . . . . : school.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : school.local


Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевое подключение с ускорением ввода-вы
вода Intel(R) PRO/1000 EB1
   Физический адрес. . . . . . . . . : 00-1A-92-D6-43-F1
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.5(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 127.0.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Подключение по локальной сети*:

   Состояние носителя. . . . . . . . : Носитель отключен
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : isatap.{601C2220-9D9D-446E-9248-12DB9C846
13B}
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 8:

   Состояние носителя. . . . . . . . : Носитель отключен
   DNS-суффикс подключения . . . . . : school.local
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка вjavascript:void(0);ключена. . . . . . : Да

Код: [Выделить]

cmd netstat -r

Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

Гарри Кашпировский · « **Ответ #14 :** 03 Июля 2011, 21:27:54 »

Код: [Выделить]

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевое подключение с ускорением ввода-вы
вода Intel(R) PRO/1000 EB1
   Физический адрес. . . . . . . . . : 00-1A-92-D6-43-F1
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.5(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : Вот тут д.б шлюз 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 127.0.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

И домен *.local лучше передалать в *.lan

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables и вебсервер (Прочитано 1610 раз)

Aristotel

iptables и вебсервер

Unreg

Re: iptables и вебсервер

Aristotel

Re: iptables и вебсервер

Гарри Кашпировский

Re: iptables и вебсервер

Aristotel

Re: iptables и вебсервер

Гарри Кашпировский

Re: iptables и вебсервер

Unreg

Re: iptables и вебсервер

Aristotel

Re: iptables и вебсервер

Гарри Кашпировский

Re: iptables и вебсервер

Aristotel

Re: iptables и вебсервер

Гарри Кашпировский

Re: iptables и вебсервер

AnrDaemon

Re: iptables и вебсервер

Unreg

Re: iptables и вебсервер

Aristotel

Re: iptables и вебсервер

Гарри Кашпировский

Re: iptables и вебсервер