Проброс ВСЕХ портов в локальную сеть iptables.

[TuzelKO]

Привет господа форумочане) Вопрос которого здесь наверное никогда не звучало... Как пробросить все порты в Ubuntu server 12.04? То есть чтобы порт с первого по последний были проброшены на локальный ip... В моем случае это 10.0.0.2... (Внешний 92.***.***.***)

[AnrDaemon]

Если вы это сделаете, шлюз просто рухнет.
Подумайте ещё раз, что на самом деле вам нужно, и действуте исходя из реальных нужд, а не бредовых хотелок.

[TuzelKO]

Шлюз выполняет роль фильтра... за ним находится еще один роутер... который и отвечает за пробросы... ему нужны все порты...

[AnrDaemon]

А вам не кажется, что вы через одно место сеть настраиваете? В нормальных сетях маршрутизатор занимается фильтрацией. Исключение, если клиентов у шлюза больше нескольких тысяч.

[TuzelKO]

1)Несколько тысяч...
2)нашел выриант... просто поставил при пробросе промежуток 1:65535...

Следующий вопрос... как сделать чтобы при перезагрузке сие дело не сбрасывалось... Перезагрузил шлюз и все правила проброса в помойку...

Пользователь решил продолжить мысль 15 Июля 2014, 18:44:47:Народ, а как сделать чтобы отображались все подключения через этот шлюз в netstat?

[AnrDaemon]

1)Несколько тысяч...

Тогда вызывает вопрос достаточность вашей квалификации для администрирования сети такого объёма.

2)нашел выриант... просто поставил при пробросе промежуток 1:65535...

Это не вариант, это убожество. Бридж и ebtables.

Следующий вопрос... как сделать чтобы при перезагрузке сие дело не сбрасывалось...

Это смешно. Поиск по форуму вверху справа.

Народ, а как сделать чтобы отображались все подключения через этот шлюз в netstat?

Какие "все подключения"? Вы же только что запретили к нему подключаться.

[TuzelKO]

Через этот шлюз, а не к этому шлюзу...
Пользователь решил продолжить мысль 15 Июля 2014, 19:04:59:И мануал не нашел...

[alexxnight]

1. Каждый проброшенный порт отнимает ресурсы у шлюза, поэтому так лучше не делать. (И расскажите, что Вы там мутите)
2. Если Вы все порты пробросили, то подключится к шлюзу Вы можете только создав исключение для определенного ip адреса(ов), который подключается из внешней сети.

Правила покажите

[Yuriy_Y]

Сорри, возможно я туплю. Но я не понял топологию данной сети. В частности, способ получения инета. К примеру, в ADSL модемах есть DMZ. Указываешь там ИПшник потенциального покойника, и туда открываются ВСЕ порты. Если в данном случае инет от провайдера приходит в роутерную железку, то способ будет похожим. Если инет приходит в шлюз на базе компа с двумя сетевухами, то там и надо рулить пробросами портов.
К примеру, в моей локалке с АДСЛ модем пробрасывает все порты на прокси-шлюз. А уже этот сервер разные порты кидает на разные машины. А тут как-то получается маршрут через задний проход. Нипанятна.

[TuzelKO]

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Tue Jul 15 19:48:49 2014
*nat
:PREROUTING ACCEPT [4507:375933]
:INPUT ACCEPT [291:23432]
:OUTPUT ACCEPT [2307:141633]
:POSTROUTING ACCEPT [127:9007]
-A PREROUTING -d 92.255.125.135/32 -p tcp -m tcp --dport 1:65535 -j DNAT --to-destination 10.0.0.2
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -d 10.0.0.2/32 -p tcp -m tcp --dport 1:65535 -j SNAT --to-source 10.0.0.1
COMMIT
# Completed on Tue Jul 15 19:48:49 2014
# Generated by iptables-save v1.4.12 on Tue Jul 15 19:48:49 2014
*filter
:INPUT ACCEPT [16918:1725861]
:FORWARD ACCEPT [583639:80477257]
:OUTPUT ACCEPT [16879:2693170]
-A FORWARD -d 10.0.0.2/32 -i eth1 -o eth0 -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Jul 15 19:48:49 2014
Топология такая... Интернет -> шлюз (который фильтрует пакеты и на котором проброшены все порты с которым я парюсь сейчас) -> роутер (раздача портов и прочее) -> сервер

[AnrDaemon]

Через этот шлюз, а не к этому шлюзу...

netstat не показывает транзитные подключения вообще.

Сорри, возможно я туплю. Но я не понял топологию данной сети. В частности, способ получения инета. К примеру, в ADSL модемах есть DMZ. Указываешь там ИПшник потенциального покойника, и туда открываются ВСЕ порты.

Не сравнивай нагрузку... Один дохлый ADSL модем и десять тысяч клиентов.

[djrust]

уберите роутер из схемы....и все будет ок

[Yuriy_Y]

Интернет -> шлюз (который фильтрует пакеты и на котором проброшены все порты с которым я парюсь сейчас) -> роутер (раздача портов и прочее) -> сервер

Терзают меня смутные сомнения, что слишком сложно.

Не сравнивай нагрузку... Один дохлый ADSL модем и десять тысяч клиентов.

У меня там шлюзом стоит простой атлон двухядерный. Средняя нагрузка при 50 клиентах = 0.2%. Простая пропорция показывает, что 100% нагрузки машина достигнет при 25000 клиентах. Ну другие накладные расходы и прочая фигня. Но 10к потянет махом. На этой машине еще и АТСка стоит. А АДСЛ модем я просто указал примером. Просто пинок в нужное направление.

[AnrDaemon]

Да я уже пинал. Только задница у ТС тяжеловатая... Видимо, мозги туда стекли...