Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Проброс портов ...  (Прочитано 3721 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн monarch76

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Проброс портов ...
« : 28 Октябрь 2013, 17:24:36 »
Здравствуйте!Не могу настроить проброс портов.Подключил сервер Ubuntu 11.04 в существующую сеть, т.е, имеется сетьс выходом в Инет: Ext:IP-77.хх.хх.ххх. Int-IP-192.168.0.1/150. На сервере Ubuntu 2 сет.карты, eth0-192.168.0.89(смотрит в имеющуюся локалку и дает доступ в инет ноутбуку) и eth1-192.168.1.1(к ней подключен ноут-192.168.1.2 для теста работы сервера и настройки). Дело в том, что сейчас на основную локалку инет раздает комп с виндой и нужно уйти от этого, но необходимо подключить уже настроенный по максимуму сервер Ubuntu поэтому и подключил я так Ubuntu с ноубуком ,так как тренироваться на реальной раздаче Инета нет возможности. Установлен прозрачный Squid, на ноут Инет раздается без проблем. Но проброс портов ни как не получается. К примеру программа для работы глонасс на ноуте обращается к серверу 85.xx.xx.xxx.xxx:2228 но на ноут данные не приходят. Или еще нужно передавать данные на 192.168.0.90:25000 из Инета и обратно. Настройки проброса портов как и "заворачивание с 3128 на 80" написаны в "/etc/rc.local"(может лучше их в отдельный файлик записывать?).Файервол выключен, думаю включить но позже, сейчас хотя бы с пробросом разобраться.Я совсем новичек. Помогите пожалста на пальцах с адресами и портами написанными выше. Заранее Вас благодарю!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #1 : 28 Октябрь 2013, 18:42:52 »
Еле прочитал и ничего не понял. Второй раз читать это странное описание желания не возникло.
Понял, что Вы путаете вход с выходом, вот у Вас и не получается. То есть не различаете входящие запросы и исходящие.

Если какая-либо прога хочет подключиться к какому-либо порту в интернете, не переваривая прокси, её нужно ПРОСТО выпустить, а не пробрасывать.
Вот если нужно подключаться к какому-либо сервису внутри локалки, тогда да - нужен проброс и выглядит он примерно так
sudo iptables -t nat -A PREROUTING -d 77.xx.xx.xx -p tcp --dport 25000 -j DNST --to-destination 192.168.0.90
PS Кстати 150 маски подсети не существует. Или очепятка или Вам ещё нужно немного изучить основы построения сетей
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн monarch76

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #2 : 28 Октябрь 2013, 19:14:10 »
sudo iptables -t nat -A PREROUTING -d 77.xx.xx.xx -p tcp --dport 25000 -j DNST --to-destination 192.168.0.90PS Кстати 150 маски подсети не существует. Или очепятка или Вам ещё нужно немного изучить основы построения сетей
Спасибо большое! В четверг буду дальше настраивать, тогда отпишусь.
На счет "192.168.0.1/150", я так понял когда так пишут, что это имеется ввиду ip-адреса в конце с 1 по 150, т.е. работают до 150 компов в сети.   

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #3 : 28 Октябрь 2013, 19:22:05 »
Не правильно Вы поняли: за слешем пишут маску сети. Когда пишут диапазон адресов - разделяют тире
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн monarch76

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #4 : 28 Октябрь 2013, 19:25:44 »
Не правильно Вы поняли: за слешем пишут маску сети. Когда пишут диапазон адресов - разделяют тире
Благодарю Вас!

Пользователь решил продолжить мысль 28 Октябрь 2013, 19:31:57:
Если какая-либо прога хочет подключиться к какому-либо порту в интернете, не переваривая прокси, её нужно ПРОСТО выпустить, а не пробрасывать.
А как "просто выпустить", я так понял нужно IP на который "идет" клиент подменить на внешний IP сервера.
« Последнее редактирование: 28 Октябрь 2013, 19:31:57 от monarch76 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #5 : 28 Октябрь 2013, 21:01:39 »
Ну и подумайте, что получится.
Давайте представим, что сетевой пакет - это обычное почтовое письмо (а оно так и есть).
На письме есть отправитель и есть получатель. И вот Вы решили сменить адрес на который идёт адресом дома отправителя. Как Вы думаете? Письмо дойдёт до адресата?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Проброс портов ...
« Ответ #6 : 29 Октябрь 2013, 19:13:49 »
А как "просто выпустить"
Локальный трафик — открыть filter/OUTPUT.
Транзитный — открыть filter/FORWARD + правило на SNAT, либо MASQUERADE.

Оффлайн monarch76

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #7 : 31 Октябрь 2013, 12:09:50 »
А можно ли в одной строчке " iptables -t nat -A PREROUTING -d 77.xx.xx.xx -p tcp --dport 25000 -j DNST --to-destination 192.168.0.90" указать сразу два протокола "tcp & udp" а также диапазон портов "10000 - 20000" ?
« Последнее редактирование: 31 Октябрь 2013, 12:14:23 от monarch76 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #8 : 31 Октябрь 2013, 18:22:25 »
А можно ли в одной строчке
...
указать сразу два протокола "tcp & udp"
Я не знаю. Вроде нет. Либо tcp, либо udp (в одном правиле)
а также диапазон портов "10000 - 20000" ?
-m multiport -dport 10000:20000

P.S. туториал не пробовали почитать? Хотя бы такие ламерские вопросы не задавали.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Проброс портов ...
« Ответ #9 : 01 Ноябрь 2013, 13:03:07 »
По моему ничего не нужно пробрасывать. Достаточно настроить сервак в режиме NAT и всё. Попробуйте для начала без прокси все это сделать. А проброс нужен только тогда когда Вы хотите СНАРУЖИ подцепиться к определенному порту компа который стоит за НАТом, т.е. в Вашей локальной сети. Почитайте все-таки это. Думаю как раз то что Вам нужно.

Зы. Если я что-то не понял из вашего техзадания - поправьте меня.
« Последнее редактирование: 01 Ноябрь 2013, 13:05:25 от shushpanchik »

Оффлайн monarch76

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #10 : 01 Ноябрь 2013, 14:50:25 »
По моему ничего не нужно пробрасывать. Достаточно настроить сервак в режиме NAT и всё. Попробуйте для начала без прокси все это сделать. А проброс нужен только тогда когда Вы хотите СНАРУЖИ подцепиться к определенному порту компа который стоит за НАТом, т.е. в Вашей локальной сети. Почитайте все-таки это. Думаю как раз то что Вам нужно.

Зы. Если я что-то не понял из вашего техзадания - поправьте меня.
Спасибо. Имеется Ubuntu сервер подключенные к Интернету. После него стоит комп с виндой, к которому подключается через инет программа установленная на сматфонах и вот для нее необходимо сделать проброс. Или к примеру к этому компу с виндой нужно будет подключиться по RDP, тоже надо как я понимаю сделать проброс.
« Последнее редактирование: 01 Ноябрь 2013, 15:12:46 от monarch76 »

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Проброс портов ...
« Ответ #11 : 03 Ноябрь 2013, 16:08:06 »
Тогда проброс конечно нужен.

iptables -t nat -A PREROUTING -i <интерфейс интернета> -p tcp -m tcp --dport <порт назначения> -j DNAT --to-destination <IP локальной машины>:<порт назначения>
iptables -t nat -A POSTROUTING -d <IP локальной машины> -p tcp -m tcp --dport <порт назначения> -j SNAT --to-source <IP сервера>

Интерфейс интернета - ethX или pppX в зависимости от того как подключаетя сервер к инету. Отдельными правилами для каждого порта.

Зы. Насчет отдельных правил - если можно через multiport - подправьте меня. Просто не пользуюсь по причине ненадобности.
« Последнее редактирование: 03 Ноябрь 2013, 16:10:41 от shushpanchik »

Оффлайн monarch76

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #12 : 04 Ноябрь 2013, 11:12:17 »
Тогда проброс конечно нужен.

iptables -t nat -A PREROUTING -i <интерфейс интернета> -p tcp -m tcp --dport <порт назначения> -j DNAT --to-destination <IP локальной машины>:<порт назначения>
iptables -t nat -A POSTROUTING -d <IP локальной машины> -p tcp -m tcp --dport <порт назначения> -j SNAT --to-source <IP сервера>

Интерфейс интернета - ethX или pppX в зависимости от того как подключаетя сервер к инету. Отдельными правилами для каждого порта.

Зы. Насчет отдельных правил - если можно через multiport - подправьте меня. Просто не пользуюсь по причине ненадобности.
Спасибо. На счет "multiport", я сделал как писал "fisher74". И еще вопрос: я пишу все эти правила в  "rc.local". Но может удобнее будет написать их в отдельном файлике и запускать его при запуске системы или тогда надо сделать его исполняемым ? 

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Проброс портов ...
« Ответ #13 : 04 Ноябрь 2013, 11:57:20 »
Исполняемым в любом случае. В виде временного костыля можно создать например файл /etc/rc.rules с правилами, сделать его исполняемым и вызывать из rc.local

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1708
  • חתול המדען
    • Просмотр профиля
Re: Проброс портов ...
« Ответ #14 : 04 Ноябрь 2013, 12:40:55 »
И еще вопрос: я пишу все эти правила в  "rc.local". Но может удобнее будет написать их в отдельном файлике и запускать его при запуске системы или тогда надо сделать его исполняемым ? 
iptables-save/iptables-restore
(Нажмите, чтобы показать/скрыть)
OpenWrt 19.07

 

Страница сгенерирована за 0.084 секунд. Запросов: 26.