Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: [РЕШЕНО]2 шлюза и port forwarding Ubuntu 16.04 (старая песня о главном)  (Прочитано 610 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sharkom

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
        Доброго всем времени суток. Столкнулся с такой проблемой... скорее не проблемой, но не суть. А суть в том что не хватает знаний как это решить. Есть 2 физических шлюза, основной, например, GW1 с адресом 109.194.Х.Х1/92.168.40.252 и резервный GW2 79.175.Х.Х/192.168.40.254 (WAN/LAN соответственно) Клиенты сидят на GW1, т.е шлюз по умолчанию (раздает DHCP) на GW2 в основном входящие соединения обмен по FTP, jabber и тд. Работает это все под Windows в купе с Kerio. Но в один прекрасный момент GW2 приказал долго жить и недолго думая я заменил его на Ubuntu. Когда стал прописывать правила которые до этого были в Kerio я понял что форвардинг портов не работает... вернее работает, но что-то пошло не так. Как бы это сформулировать...
       На примере RDP... при подключении к GW2 на 79.175.х.х на порт 3389 пакет уходит на узел в локальной сети 192.168.40.154 на вышеуказанный порт. Вся загвоздка в том, что пакет не маскируется и приходит на узел от 79.175.х.х, который в свою очередь является для узла (192.168.40.154) внешним адресом и узел отвечает через шлюз по умолчанию (GW1) на 79.175.х.х и ответ приходит к GW2 от GW1 а не от узла 192.168.40.154 в локальной сети. Как сделать маскарадинг в данном случае чтобы пакеты при обращении к GW2 на внешний адрес 79.175.х.х приходили от локального интерфейса GW2 с адресом 192.168.40.254 Когда меняю на узле шлюз по умолчанию на 192.168.40.254 (GW2) все прекрасно начинает работать.
Дико извиняюсь за такой сумбур :idiot2:, но не знаю как это сформулировать иначе  :-[
« Последнее редактирование: 26 Ноябрь 2016, 00:18:12 от Punko »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Если всё равно, какие адреса будут ходить в сети, можно заNAT'ить проброшенные порты.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн sharkom

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Если всё равно, какие адреса будут ходить в сети, можно заNAT'ить проброшенные порты.
Да, всё равно какие адреса будут ходить. Вот не могу мысль эту в правило iptables оформить, хожу вокруг да около, но на ум приходит только это iptables -t nat -A POSTROUTING -d 192.168.40.154 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.40.254. Или это чушь полная? И еще такой вопрос по -d и --dst - это синонимы или все же разные вещи?
« Последнее редактирование: 24 Ноябрь 2016, 20:26:27 от sharkom »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Нет, всё верно.
-A POSTROUTING -o $LAN_IF -d $DST_IP -p tcp -m tcp --dport $DST_PORT -j SNAT --to-source $LAN_IP
И еще такой вопрос по -d и --dst - это синонимы или все же разные вещи?
А что говорит man iptabes?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн sharkom

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
А что говорит
Код: [Выделить]
man iptabes
?
-d, --destination address[/mask][,...]
              Destination  specification.   See  the  description  of  the  -s
              (source) flag for a detailed description  of  the  syntax.   The
              [u]flag --dst is an alias for this option[/u].
А так разве можно? ))) Какая полезная команда "man". Спасибо большое, сегодня попробую что из этого выйдет.

Пользователь добавил сообщение 25 Ноябрь 2016, 10:22:25:
После добавления iptables -t nat -A POSTROUTING -d 192.168.40.154 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.40.254 оно таки заработало, что логично. Хоть только начинаю изучать Ubuntu, но чего я тупил непонятно. Всем спасибо, можно закрывать.
« Последнее редактирование: 25 Ноябрь 2016, 10:22:25 от sharkom »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Исходящий интерфейс укажи. Чтобы случайно не отфорвардить трафик в интернет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн sharkom

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Исходящий интерфейс укажи. Чтобы случайно не отфорвардить трафик в интернет.
Да,конечно, интерфейс указал.

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.