[РЕШЕНО] Сервер за NAT

[Actor]

В наличии:
Ubuntu server 11.04
АДСЛ модем/роутер TP-W8151N в режиме роутера

На роутере настроены виртуальные серверы на 3389 (вин серв. рдк) 80 и 22 (Ubuntu веб и ssh). Из локалки все работает, из внешки не работают порты на убунте, вин рдк открывается без проблем.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Fri Sep  9 22:09:52 2011
*nat
:PREROUTING ACCEPT [433:27829]
:INPUT ACCEPT [338:22989]
:OUTPUT ACCEPT [120:7588]
:POSTROUTING ACCEPT [120:7588]
COMMIT
# Completed on Fri Sep  9 22:09:52 2011
# Generated by iptables-save v1.4.10 on Fri Sep  9 22:09:52 2011
*mangle
:PREROUTING ACCEPT [5196:504835]
:INPUT ACCEPT [4245:444188]
:FORWARD ACCEPT [5:256]
:OUTPUT ACCEPT [4051:2201806]
:POSTROUTING ACCEPT [4056:2202062]
-A PREROUTING -s 192.168.0.0/24 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.0/24 -j RETURN
COMMIT
# Completed on Fri Sep  9 22:09:52 2011
# Generated by iptables-save v1.4.10 on Fri Sep  9 22:09:52 2011
*filter
:INPUT ACCEPT [1396:116925]
:FORWARD ACCEPT [5:256]
:OUTPUT ACCEPT [4054:2202690]
-A INPUT -s 192.168.0.0/24 -i eth2 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m multiport --dports 22 -j ACCEPT
-A INPUT -s 192.168.0.28/32 -j ACCEPT
-A OUTPUT -d 192.168.5.0/24 -o eth2 -m state --state NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Fri Sep  9 22:09:52 2011

Все разрешено, инпут правила остались с прошлой роли сервера.

[fisher74]

Проеврочные слова:

АДСЛ модем/роутер TP-W8151N в режиме роутера

[Actor]

м?
Думаете в роутере дело? на вин серв то заходит.

[fisher74]

И что? Порт 3389 проброшен, а 22 и 80 - нет. Вот и будет привет от роутера.

[Actor]

80 и 22 проброшен по такому же принципу как и 3389 мною

[fisher74]

А интерфейсы сервера можете расписать, какой куда и какую адресацию имеют?
И в догонку вопрос сразу: А зачем маркируете пакеты из сети 192.168.0.0/24?

[Actor]

htb раньше работал там

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr d8:5d:4c:83:4b:6b
          inet6 addr: fe80::da5d:4cff:fe83:4b6b/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:2705846 errors:116 dropped:1 overruns:0 frame:166
          TX packets:2503120 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1555703147 (1.5 GB)  TX bytes:450820360 (450.8 MB)
          Interrupt:5 Base address:0xd400

eth2      Link encap:Ethernet  HWaddr 5c:d9:98:b4:df:4c
          inet addr:192.168.0.150  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::5ed9:98ff:feb4:df4c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2559135 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2497123 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:437521705 (437.5 MB)  TX bytes:1553813917 (1.5 GB)
          Interrupt:5 Base address:0xcc00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:156031 errors:0 dropped:0 overruns:0 frame:0
          TX packets:156031 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:18423896 (18.4 MB)  TX bytes:18423896 (18.4 MB)

86.122.236.17   *               255.255.255.240 U     0      0        0 eth1
localnet        *               255.255.255.0   U     0      0        0 eth2
default         86.122.236.17   0.0.0.0         UG    0      0        0 eth1
default         192.168.0.100   0.0.0.0         UG    100    0        0 eth2

Метрика не верная (чем меньше тем приоритетные вроде). Хотя должно быть всеравно какая метрика, откуда пришел пакет туда и отвечать

[fisher74]

Да, приоритетней меньшая метрика.

[Actor]

изменил сообщение выше

[fisher74]

По диагонали проблем не увидел. Так что копайте роутер. Проскакивало здесь, что некоторые роутеры чудат - пишут, что порт прокинут, а по факту - нет

[Actor]

Ок, спасибо. В понедельник попробую поднять на др машине апач на винде посмотрю результат.
Пользователь решил продолжить мысль 09 Сентября 2011, 16:54:34:Обнаружил что не идет трасировка до яндекса, до шлюза идет а дальше no reply если же напрямую подключить 2 линию ( eth1) то через нее идет до яндекса, однако с отключеным eth1 пинг до яндекса есть (медленный но есть, не большая задержка пакета а вывод медленный почему то)


[РЕШЕНО]
При выключении eth1 (метрика 0) - все работает, при обратном включении - не работает.
Пользователь решил продолжить мысль 09 Сентября 2011, 17:27:44:Тогда другой вопрос, если я шлюз сменю сейчас на натоский, тогда если стучатся на прямой белый ip то таже ситуация будет только в другой профиль, что тогда нужно что б работали оба
Пользователь решил продолжить мысль 09 Сентября 2011, 17:46:41:Гугл в помощь http://www.opennet.ru/docs/RUS/LARTC/x348.html#SPLITACCESS