Доступ из внешней сети к локальному компьютеру

[k7zloy]

Доброго времени суток

как получить доступ к компьтеру в локальной сети подключённому к интернету через шлюз,тобишь стоит 1комп с двумя сетевыми картами,одна принимает интернет,вторая отдаёт в локальную сеть.

(Нажмите, чтобы показать/скрыть)

моя задача обеспечить доступ к локальному компутеру из сети интернет


погуглив с денёк,понял что необходимо запросы поступающие на внешний IP перенаправлять в локальный компьютер на внутрений IP. только какими средствами это можно сделать ? опять же вычитал про iptables много пишут.

[fisher74]

именно ими и реализуется такая задача. Подобности в iptables tutorial.
В своё время, статья из WiKi раскрыла мне глаза на работу netfilter. Может и Вам поможет.

PS Копия статьи есть ещё и здесь

[vselax]

Можно порты пробросить, а если на шлюзе есть ssh, можно снаружи зайти на шлюз, а потом, с него, на комп.

[k7zloy]

я так понял iptables это есдинственный фаейрвол-лидер ?

[fisher74]

Не лидер. Лидер может быть только при наличии соперников. Но в ядро встроет только netfilter

[k7zloy]

Не лидер. Лидер может быть только при наличии соперников. Но в ядро встроет только netfilter

так ему и аналогов нет даже,он один в свём роде,как бы так сказать ?

[fisher74]

Эммм. Ну так ядро-то одно!!! А netfilter - одно из участков этого "мозга". У Вас мозжечок один? Вот и в ядре механизм работы с пакетами тоже один.
Мы немного ушли от темы.

[k7zloy]

Кто настраивал,сталкивался с такой проблемой или просто знает,подскажите как сделать что б при обращении с локальной сети к моему внешнему айпи(через который я выхожу в интернет) открывался сайт который стоит в той же локальной сети на другом компьютере.

прописываю в iptables :

-A POSTROUTING -s 192.168.10.0/32 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1

что не так ?

со своего внешнего айпи захожу без проблем,с других компьютеров тоже заходят,по локалке могу зайти только набирая локальный адресс сайта 192.168.10.2. проброс с внешнего на внутрений адрес стоит. вот iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Dec 28 22:18:31 2012
*filter
:INPUT ACCEPT [16:1139]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:328]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Fri Dec 28 22:18:31 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 22:18:31 2012
*nat
:PREROUTING ACCEPT [7:587]
:INPUT ACCEPT [3:459]
:OUTPUT ACCEPT [1:328]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d xxxxxxxx/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.2
-A OUTPUT -d xxxxxxx/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.2
-A POSTROUTING -s 192.168.10.0/32 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1
-A POSTROUTING -o eth0 -j SNAT --to-source xxxxxx
COMMIT
# Completed on Fri Dec 28 22:18:31 2012

[fisher74]

В Iptables tutorial этот момент рассмотрен с примерами.

[k7zloy]

В Iptables tutorial этот момент рассмотрен с примерами.

так вот именно,но ничего не получаеться. помогите разобраться,с чего начать ?

[fisher74]

-A POSTROUTING -s 192.168.10.0/32 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1

Ошибка, выявленная диагональным просмотром правил, озвученных выше
Пользователь решил продолжить мысль 29 Декабря 2012, 21:05:42:Кстати, как разберётесь с этим не забудьте про цепочку FORWARD в таблице filter. Негоже с распахнутыми дверьми локалку держать.

[k7zloy]

-A POSTROUTING -s 192.168.10.0/32 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1

Ошибка, выявленная диагональным просмотром правил, озвученных выше
Пользователь решил продолжить мысль 29 Декабря 2012, 21:05:42:Кстати, как разберётесь с этим не забудьте про цепочку FORWARD в таблице filter. Негоже с распахнутыми дверьми локалку держать.

спс,я знаю,нужно настроить все детальней.
так и думал что что то в этих цифрах,как узнать что это и с чем его едят,насколько мне известно это сокращенная форма записи маски подсети.
как исправить эту ошибку,и где про это узнать что б впредь не допускать.?

[ArcFi]

так и думал что что то в этих цифрах,как узнать что это и с чем его едят,насколько мне известно это сокращенная форма записи маски подсети.

255.255.255.255 = 2^(8*4) = 2^32

[k7zloy]

так и думал что что то в этих цифрах,как узнать что это и с чем его едят,насколько мне известно это сокращенная форма записи маски подсети.

255.255.255.255 = 2^(8*4) = 2^32

ничего не понял,что это ты хотел сказать ?

[ArcFi]

ничего не понял,что это ты хотел сказать ?

Вы спрашивали про формат записи маски.
Это объяснение того, как из "255.255.255.255" получается "/32".