Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Проброс портов с реальным IP-Адресом  (Прочитано 2001 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Maya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Здравствуйте уважаемые форумчане!

Как реализовать проброс порта таким образом, что бы на хосте отображался реальный IP а не IP машины, как это происходит с SNAT DNET вместе с IPTABLES

Схема примерно такая

Машина в и-нете с IP 1.2.3.4
Машина в и-нете с IP 4.5.6.7
Нужно что бы схема работала следующим образом

Клиент c IP 9.8.7.6 стучит на IP 1.2.3.4:27015 > преобразование ??? > IP 4.5.6.7:27234 с клиентским IP 9.8.7.6

Вот правило на IPTABLES, но при таком правиле я не вижу реальных IP адресов, помогите пожалуйста
iptables -t nat -A PREROUTING -p udp --dport 27015 -j DNAT --to-destination 4.5.6.7:27231
iptables -t nat -A POSTROUTING -j MASQUERADE

Кстати протокол UDP используется
« Последнее редактирование: 23 Июль 2014, 01:41:44 от Maya »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #1 : 22 Июль 2014, 23:28:22 »
Цитировать
iptables -t nat -A POSTROUTING -o внешний_интерфейс -j MASQUERADE
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Maya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #2 : 22 Июль 2014, 23:42:26 »
Цитировать
iptables -t nat -A POSTROUTING -o внешний_интерфейс -j MASQUERADE
Спасибо за ответ, но данное решение не работает, адрес так же определяется машины а не клиента. :(

Онлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26061
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #3 : 23 Июль 2014, 01:58:29 »
Maya, у вас похоже каша в голове. Не пытайтесь себя и нас запутать, выдавайте реальное описание проблемы, как она у вас видна в логах.
И покажите вывод команды
ip a; iptables-save
со шлюза. Полностью.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 14921
  • Я не слышу.
    • Просмотр профиля
~.o

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #5 : 23 Июль 2014, 10:41:35 »
но данное решение не работает
Его работоспособность зависит от других факторов, в том числе от того какие именно изменения Вы сделали.
Предлагаю использовать предложение AnrDaemon и расширить информативную базу поставленного вопроса.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Maya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #6 : 23 Июль 2014, 12:33:39 »
Спасибо всем за ответы, ОСЬ чистая только установленная Ubuntu x64 или Debian x64

ip a; iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:ac:34:a1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.5/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::20c:29ff:feac:34a1/64 scope link
       valid_lft forever preferred_lft forever
# Generated by iptables-save v1.4.12 on Wed Jul 23 12:41:51 2014
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [1:120]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p udp -m udp --dport 27015 -j DNAT --to-destination 1.2.3.4:27231
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Jul 23 12:41:51 2014

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:ac:34:a1
          inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:feac:34a1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:298 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:62703 (62.7 KB)  TX bytes:33841 (33.8 KB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:337 errors:0 dropped:0 overruns:0 frame:0
          TX packets:337 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:48573 (48.5 KB)  TX bytes:48573 (48.5 KB)

И включен ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward
sysctl net.ipv4.ip_forward=1

Мне просто нужно сделать что бы клиент попадал на 1 машину с портом 27015 и перенаправлялся со своим реальным IP на второй сервер с адресом 4.5.6.7:27231
« Последнее редактирование: 23 Июль 2014, 12:42:12 от Maya »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #7 : 23 Июль 2014, 12:41:23 »
хакеры, блин....
тогда так
-A POSTROUTING -o eth0 -j MASQUERADE
Но учтите, что скорее всего коннекта не будет, так как 1.2.3.4 будет отправлять ответы напрямую, а клиент будет отвергать его соединения, как неизвестные
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Maya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #8 : 23 Июль 2014, 12:45:59 »
хакеры, блин....
тогда так
-A POSTROUTING -o eth0 -j MASQUERADE
Но учтите, что скорее всего коннекта не будет, так как 1.2.3.4 будет отправлять ответы напрямую, а клиент будет отвергать его соединения, как неизвестные
Так не отображает реальный IP адрес клиента, отображает машины

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #9 : 23 Июль 2014, 12:52:11 »
Вы правите свои посты после ответа на них. Как минимум в iptables было ещё одно правило
Показывайте текущие правила netfilter.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Онлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26061
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #10 : 23 Июль 2014, 13:04:11 »
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    inet 192.168.0.5/24 brd 192.168.0.255 scope global eth0

-A PREROUTING -p udp -m udp --dport 27015 -j DNAT --to-destination 1.2.3.4:27231
-A POSTROUTING -o eth0 -j MASQUERADE
Ну и как адрес 1.2.3.4 сможет работать с пакетами, завёрнутыми с адреса 192.168.0.5 ?
Вас просили не морочить головы ни нам, ни себе.
И с какого перепугу тут появился маскарад? А, я, кажется, догадываюсь. Вы пытаетесь запутать всю свою сеть, чтобы никто не разобрался без поллитры?

Цитировать
Мне просто нужно сделать что бы клиент попадал на 1 машину с портом 27015 и перенаправлялся со своим реальным IP на второй сервер с адресом 4.5.6.7:27231
А, уже 4.5.6.7...
Короче, прекращайте заниматься чёрт знает чем. DNAT предназначен для работы на шлюзе, т.е. на машине, реально производящей преобразование адресов, в ту или другую сторону.
У вас же проблема не в адресации, а в голове. Не надо так делать.
Если ресурс расположен в пределах прямой досягаемости, и обращаться к нему надо напрямую.
Будет намного проще что-то советовать, если вы опишете проблему с начала, а не с конца.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Maya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #11 : 23 Июль 2014, 13:29:05 »
Вот реальная машина с 5.12.26.44, мне нужно что бы проброс с нее показывал IP клиента а не этой машины, правила сброшены, те, что были выше, извините за затуп  :)

ip a; iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:7d:a1:66 brd ff:ff:ff:ff:ff:ff
    inet 5.12.26.44/24 brd 5.12.26.255 scope global eth0
    inet6 fe80::5054:ff:fe7d:a166/64 scope link
       valid_lft forever preferred_lft forever
# Generated by iptables-save v1.4.14 on Wed Jul 23 13:15:41 2014
*filter
:INPUT ACCEPT [59:9952]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [68:10936]
COMMIT
# Completed on Wed Jul 23 13:15:41 2014


iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 3508 packets, 3217K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 2188 packets, 5194K bytes)
num   pkts bytes target     prot opt in     out     source               destination

echo "1" > /proc/sys/net/ipv4/ip_forward
sysctl net.ipv4.ip_forward=1

Со всеми выше правилами я получаю IP машины а не клиента

Онлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26061
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #12 : 23 Июль 2014, 17:16:27 »
Пробрасывайте на шлюзе.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Maya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #13 : 23 Июль 2014, 18:45:47 »
Пробрасывайте на шлюзе.
Подскажите как?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов с реальным IP-Адресом
« Ответ #14 : 23 Июль 2014, 18:58:43 »
Если Вы не понимаете что такое шлюз, то, боюсь, тема вырастет до размеров полноценного курса основ построения сетей
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.057 секунд. Запросов: 24.