HOWTO: Iptables для новичков

[djrust]

блин, у меня версия десктоп и так просто здесь сохранять нельзя, и консоль шлет тоже.

я тебе в этой теме уже писал и говорили тебе sudo надо использовать

удали манагер и настраивай руками

alt+f2

Код: [Выделить]

gksudo gedit /etc/network/interfaces

Код: [Выделить]

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1eth0 имя сетевой

alt+f2

Код: [Выделить]

gksudo gedit /etc/resolv.conf

Код: [Выделить]

nameserver xxx.xxx.xxx.xxx
nameserver xxx.xxx.xxx.xxx
где xxx.xxx.xxx.xxx dns

Потом в терминале

Код: [Выделить]

sudo /etc/init.d/networking restart

[Wahlberg]

молодец-молодец, ты лучший, натянул всех

[AnrDaemon]

молодец-молодец, ты лучший, натянул всех

Когда ты сам не лучше, подобные оскорбления выглядят жалко.

[aSmile]

он автоматически меняет его на 0.0.0.0, а если допытать, как я тогда то будет как на предыдущем скрине.

Это глюк какой-то. Я помню тоже менялся сам на 0.0.0.0. Чтобы того избежать по-моему надо энтер нажимать, а не табом переключаться или мышкой кликать (может и наоборот, не помню).

[mnkreal]

Приветствую!
помогите если есть времени немного, есть задача которую пока решить не могу.

условия:

сеть 192,168,0,0/24
сервер1 192,168,0,50
сервер2 192,168,0,62

клиент конектится к сервер1 192,168,0,50 (eth1) на порт 1935
необходимо его перенаправить на сервер2 192,168,0,62 (eth0) на тот же 1935

пробовал таким образом:

sudo iptables -t nat -A PREROUTING -p tcp -d 192.168.0.50 --dport 1935 -j DNAT --to-destination 192.168.0.62:1935
sudo iptables -A FORWARD -i eth1 -d 192.168.0.62 -p tcp --dport 1935 -j ACCEPT

и таким:

sudo iptables -A FORWARD -o eth1 -s 192.168.0.62 -p tcp --sport 1935 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -d 192.168.0.62 -p tcp --dport 1935 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp -d 192.168.0.50 --dport 1935 -j DNAT --to-destination 192.168.0.62:1935

не вышло. тут возникает первый вопрос:
1. можно ли использовать iptables для форвардинга в одной и той же сети?

после этого решил попробовать поднять алиасы:
сервер1 192,168,1.50 и сервер2 192,168,1,62

и попробовал такое правило:

sudo iptables -t nat -A PREROUTING -p tcp -d 192.168.0.50 --dport 1935 -j DNAT --to-destination 192.168.1.62:1935
sudo iptables -A FORWARD -i eth1 -d 192.168.1.62 -p tcp --dport 1935 -j ACCEPT

тоже не помогло
возникает второй вопрос:
2.  как решить эту проблему?

заранее спасибо!

[Mam(O)n]

В этом случае нужно еще и транзит включать в /etc/sysctl.conf:

Код: [Выделить]

net.ipv4.ip_forward=1
А вообще еще правильность прописывания правил iptables зависит от текущего положения дел в таблицах. Смотри дампы iptables-save

[mnkreal]

форвардинг включен
net.ipv4.conf.default.forwarding=1

подскажите пожалуйста сама концепция такого форвардинга жизнеспособна?

[Mam(O)n]

форвардинг включен
net.ipv4.conf.default.forwarding=1

Хз, за что отвечает данный параметр, я про другой говорил.

подскажите пожалуйста сама концепция такого форвардинга жизнеспособна?

Естественно! DNAT можно делать вообще на любой хост, даже в интернете.

[mnkreal]

Хз, за что отвечает данный параметр, я про другой говорил.

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.conf.default.forwarding=1

это оно, просто тут debian старый установлен
спасибо за коментарии, буду пробовать еще

[aSmile]

192.168.0.50 и .62 это разные машины?

[mnkreal]

2 aSmile, да разные

[aSmile]

а клиент из 192.168.0.0/24 ?

[mnkreal]

именно.
также стоит отметить что есть правило для подключений к этому серверу из инета на этот же порт, там форвардит нормально
тоесть сервер1 имеет eth0 с инет адрессом  и eth1 192.168.0.50
при конекте на eth0 его тоже должно форвардить на 192.168.0.62 внутри сети, что оно и делает нормально.
точно же такое правило для внутреннего форвардинга с 192,168,0,50 на 192,168,0,62 не работает......

[aSmile]

Все дело в SNAT'е. https://forum.ubuntu.ru/index.php?topic=62756.msg467655#msg467655

[mnkreal]

Огромное спасибо! заработало, а главное я понял в чем была проблема.
у вас хороший дар телепатии, догадываться по моему описанию что проблема именно такая не  так просто.
кстати там у вас очепатка мальенькая:

Код: [Выделить]

iptables -n nat -A POSTROUTING -o $LOCAL_IFACE -j SNAT --to-source $LOCAL_IP-n заменить на -t
поправьте для грядущих поколений