Доступ из внешней сети к локальному компьютеру

[k7zloy]

ничего не понял,что это ты хотел сказать ?

Вы спрашивали про формат записи маски.
Это объяснение того, как из "255.255.255.255" получается "/32".

а 255.255.255.0 как будет записываться ?

[ArcFi]

а 255.255.255.0 как будет записываться ?

255.255.255.0 = 2^(8*3) = 2^24
255.255.0.0 = 2^(8*2) = 2^16
255.0.0.0 = 2^(8*1) = 2^8

[k7zloy]

а 255.255.255.0 как будет записываться ?

255.255.255.0 = 2^(8*3) = 2^24
255.255.0.0 = 2^(8*2) = 2^16
255.0.0.0 = 2^(8*1) = 2^8

при записи 192.168.10.1/24,iptables записывает адрес 192.168.10.0/24,автоматически. я не могу понять почему так. а маска 255.255.254.0 как тогда записываеться ?

[ArcFi]

k7zloy, почитайте тут:
http://ru.wikipedia.org/wiki/IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81#.D0.A1.D1.80.D0.B0.D0.B2.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D1.82.D0.B8.D0.BF.D0.BE.D0.B2_.D0.B0.D0.B4.D1.80.D0.B5.D1.81.D0.B0.D1.86.D0.B8.D0.B8

[k7zloy]

k7zloy, почитайте тут:
http://ru.wikipedia.org/wiki/IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81#.D0.A1.D1.80.D0.B0.D0.B2.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D1.82.D0.B8.D0.BF.D0.BE.D0.B2_.D0.B0.D0.B4.D1.80.D0.B5.D1.81.D0.B0.D1.86.D0.B8.D0.B8

прочитал,но настроить что б работало не получаеться. Если знаешь как помочь натолкни на мысль или расскажи,будь добр.

[ArcFi]

Код: [Выделить]

-A POSTROUTING -s <внутренняя_сеть> -o <внешний_интерфейс> -j SNAT --to-source <внешний_IP>
-A PREROUTING -i <внешний_интерфейс> -p tcp -m tcp --dport <внешний_порт> -j DNAT --to-destination <IP_хоста_в_локальной_сети>:<порт_хоста_в_локальной_сети>

[k7zloy]

Код: [Выделить]

-A POSTROUTING -s <внутренняя_сеть> -o <внешний_интерфейс> -j SNAT --to-source <внешний_IP>
-A PREROUTING -i <внешний_интерфейс> -p tcp -m tcp --dport <внешний_порт> -j DNAT --to-destination <IP_хоста_в_локальной_сети>:<порт_хоста_в_локальной_сети>

не работает тоже,в чем же дело а ? на локальной машине я ничего не прописываю правильно ? все на шлюзовой системе,там где две сетевые карты делаю.
все работает а вот с локалки на сайт не могу зайти,с локалки по локальному то заходит,а с локального по внешнему нет

[ArcFi]

на локальной машине я ничего не прописываю правильно ? все на шлюзовой системе,там где две сетевые карты делаю.

Перечисленные выше правила для шлюза.
С хостом в локалке разговор отдельный.

с локалки по локальному то заходит,а с локального по внешнему нет

Проверять надо снаружи.

[k7zloy]

с локалки по локальному то заходит,а с локального по внешнему нет

Проверять надо снаружи.
я проверял,все работает,и с россии заходили,и через дом друг живет заходит

а какой отдельный разговор ? может без этого отдельного разговора и не фурычит ничего:?

[fisher74]

Давайте ещё раз посмотрим правила. После всех правок. Вдруг ещё где ошибочка закралась.

Клиентская машина в локалке, в идеале, должна иметь локальный IP-адрес и шлюзом по умолчанию должен быть указан обсуждаемый шлюз.

[k7zloy]

Давайте ещё раз посмотрим правила. После всех правок. Вдруг ещё где ошибочка закралась.

Клиентская машина в локалке, в идеале, должна иметь локальный IP-адрес и шлюзом по умолчанию должен быть указан обсуждаемый шлюз.

Так все и есть! локальный айпи 192.168.10.2(шлюз 192.168.10.1) это где сервер стоит,а где две сетевые карточки айпи локальный 192.168.10.1

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Sun Dec 30 13:49:27 2012
*filter
:INPUT ACCEPT [499:259829]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [267:19357]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Sun Dec 30 13:49:27 2012
# Generated by iptables-save v1.4.12 on Sun Dec 30 13:49:27 2012
*nat
:PREROUTING ACCEPT [10:784]
:INPUT ACCEPT [7:596]
:OUTPUT ACCEPT [16:910]
:POSTROUTING ACCEPT [4:229]
-A PREROUTING -d 246.174.219.172/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.2
-A OUTPUT -d 246.174.219.172/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.2
-A POSTROUTING -s 192.168.10.3/32 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1
-A POSTROUTING -o eth0 -j SNAT --to-source 246.174.219.172
COMMIT
# Completed on Sun Dec 30 13:49:27 2012

[ArcFi]

Так, я не совсем понял, зачем делать NAT в локалке.
Давайте посмотрим на шлюзе:

Код: [Выделить]

ip a ; ip r

[fisher74]

Чтобы сервис на 192.168.10.2:80 отвечал локалке по внешнему адресу шлюза.
Пользователь решил продолжить мысль 05 Января 2013, 22:36:58:Вы проверяете работу с адреса 192.168.10.3?
просто у Вас чёткое ограничение на данный финт именно для этого адреса

Код: [Выделить]

*nat
...
 -A POSTROUTING -s 192.168.10.3/32 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1Почему бы не всю подсеть задействовать?

-A POSTROUTING -s 192.168.10.0/24 -d 192.168.10.2/32 -j SNAT --to-source 192.168.10.1

[GrandPeter]

мне понравились вот эти две статьи на эту тему:

http://howitmake.ru/blog/ubuntu/86.html

http://softnastroy.com/content/ustanovka-i-nastroyka-internet-shlyuza-na-debian-5-lenny-i-debian-6-squeeze-ispolzuya-squid-rejik-sams-sqstat-arno-firewall-iptables-chast-4.html

[fisher74]

GrandPeter, в этих статьях даже намёка на проброс портов нет? Тем более с унификацией доступа к сервису из локальной сети.
Вы хотя бы в тему вчитывались?