Автор Тема: Проброс портов в сетку и использование изнутри (Прочитано 1840 раз)

darzanebor · « : 28 Октября 2009, 22:06:02 »

Есть на машине с Ubuntu 2 интерфейса
eth0 - inet 80.80.80.80
eth1 - local.net 192.168.0.0/24
C машины с убунтой с интерфейса eth0 в локальную сетку пробрасываются порты 80 и 443 допустим на ip 192.168.0.20
Все настроено dns apache2
Проблема вот в чем, если я из инета захожу на свой домен и он ломится на мой реальный ip, а дальше в сетку то все работает прекрасно...
А если я из локальной сетки захожу на свой домен с инетовским ip то он не может зайти на мой сайт ни http ни https

P.S. Пробовал правилом весь трафик идущий на порты 80 443 моего реального ip из локальной сетки но чего-то не получилось. Может общественность что подскажет?

так-же проброшены порты 25 110, но и их не могу использовать, из локальной сети, если указать внешний ip

Mam(O)n · « **Ответ #1 :** 28 Октября 2009, 22:38:24 »

sudo iptables -L -vnt nat && sudo iptables -L vn в студию.

darzanebor · « **Ответ #2 :** 29 Октября 2009, 00:12:16 »

eth1 внешний eth0 внутренний

(Нажмите, чтобы показать/скрыть)

iptables -L -vnt nat
Chain PREROUTING (policy ACCEPT 22853 packets, 2020K bytes)
pkts bytes target prot opt in out source destination
   0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45100 to:192.168.0.1:45100
   0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:45100 to:192.168.0.1:45100
1564 82296 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:49151 to:192.168.0.2:49151
17382 1772K DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:49151 to:192.168.0.2:49151
   12 672 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.0.51:25
   0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:25 to:192.168.0.51:25
   0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 to:192.168.0.51:993
   0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:993 to:192.168.0.51:993
   11 564 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.0.50:80
   0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:80 to:192.168.0.50:80
   4 192 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.0.50:443
   0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:443 to:192.168.0.50:443
3038 142K REDIRECT tcp -- eth0 * 192.168.0.0/25 !192.168.0.0/25 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 19203 packets, 1920K bytes)
pkts bytes target prot opt in out source destination
23288 1937K MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 4727 packets, 317K bytes)
pkts bytes target prot opt in out source destination

(Нажмите, чтобы показать/скрыть)

Цитировать

iptables -L -vn
Chain INPUT (policy DROP 21 packets, 6659 bytes)
pkts bytes target prot opt in out source destination
   15 600 ACCEPT tcp -- * * 80.80.80.80 0.0.0.0/0 tcp flags:!0x17/0x02
1368 192K ACCEPT udp -- * * 80.80.80.80 0.0.0.0/0
   43 5967 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
   0 0 LSI udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:33434
  142 11840 LSI icmp -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 DROP all -- eth1 * 0.0.0.0/0 255.255.255.255
   0 0 DROP all -- * * 0.0.0.0/0 80.80.80.81
   0 0 DROP all -- * * 224.0.0.0/8 0.0.0.0/0
   0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/8
   0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
   0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0
   97 3880 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
   0 0 LSI all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5
347K 494M INBOUND all -- eth1 * 0.0.0.0/0 0.0.0.0/0
207K 13M INBOUND all -- eth0 * 0.0.0.0/0 192.168.0.98
  111 5076 INBOUND all -- eth0 * 0.0.0.0/0 80.80.80.80
  222 28524 INBOUND all -- eth0 * 0.0.0.0/0 192.168.0.255
   20 6560 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
   20 6560 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Input'

Chain FORWARD (policy DROP 2 packets, 391 bytes)
pkts bytes target prot opt in out source destination
   0 0 LSI udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:33434
1164 102K LSI icmp -- * * 0.0.0.0/0 0.0.0.0/0
5644 263K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
   0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.1 tcp dpt:45100
   0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.1 udp dpt:45100
36622 1955K ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.2 tcp dpt:49151
49010 13M ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.2 udp dpt:49151
  215 164K ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.51 tcp dpt:25
   0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.51 udp dpt:25
   0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.51 tcp dpt:993
   0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.51 udp dpt:993
   62 5063 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.50 tcp dpt:80
   0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.50 udp dpt:80
   41 3812 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.50 tcp dpt:443
   0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.50 udp dpt:443
145K 98M OUTBOUND all -- eth0 * 0.0.0.0/0 0.0.0.0/0
26476 17M ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.0/25 state RELATED,ESTABLISHED
9308 1889K ACCEPT udp -- * * 0.0.0.0/0 192.168.0.0/25 state RELATED,ESTABLISHED
   0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Forward'

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
   0 0 ACCEPT tcp -- * * 80.80.80.80 80.80.80.80 tcp dpt:53
  684 43759 ACCEPT udp -- * * 80.80.80.80 80.80.80.80 udp dpt:53
  742 155K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
   0 0 DROP all -- * * 224.0.0.0/8 0.0.0.0/0
   0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/8
   0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
   0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0
   0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
241K 13M OUTBOUND all -- * eth1 0.0.0.0/0 0.0.0.0/0
349K 535M OUTBOUND all -- * eth0 0.0.0.0/0 0.0.0.0/0
   0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Output'

Chain INBOUND (4 references)
pkts bytes target prot opt in out source destination
545K 505M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1735 280K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3062 143K ACCEPT tcp -- * * 192.168.0.0/25 0.0.0.0/0 tcp dpt:3128
   0 0 ACCEPT udp -- * * 192.168.0.0/25 0.0.0.0/0 udp dpt:3128
   2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
3050 198K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
  970 127K LSI all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOG_FILTER (5 references)
pkts bytes target prot opt in out source destination

Chain LSI (6 references)
pkts bytes target prot opt in out source destination
2289 243K LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
  443 21800 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
  444 21840 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
   0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
   0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04
   11 732 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
   11 732 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
1736 201K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
1834 220K DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LSO (0 references)
pkts bytes target prot opt in out source destination
   0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Outbound '
   0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTBOUND (3 references)
pkts bytes target prot opt in out source destination
   23 3423 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
661K 628M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
47570 15M ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
26648 2265K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 DROP 2 -- * * 0.0.0.0/0 0.0.0.0/0
   0 0 DROP 47 -- * * 0.0.0.0/0 0.0.0.0/0

AnrDaemon · « **Ответ #3 :** 29 Октября 2009, 00:38:54 »

Не проще iptables-save спросить?
darzanebor - срочно марш читать правила форума!

darzanebor · « **Ответ #4 :** 29 Октября 2009, 01:03:46 »

пробовал так,

(Нажмите, чтобы показать/скрыть)

- Непрокатывает чего-то $:-\$

AnrDaemon · « **Ответ #5 :** 29 Октября 2009, 02:33:13 »

Как-то странно вы пробуете...
Что куда должно в итоге попадать?

darzanebor · « **Ответ #6 :** 29 Октября 2009, 11:24:20 »

из локальной сетки пытаюсь получить доступ к серваку своему, через его внешний IP, а с внешнего IP портфорвард в сетку опять прописан, на порты 80 443, машины с апачем внктри сети, из инета если заходить все работает а из локалки он не ходит =(

Unreg · « **Ответ #7 :** 29 Октября 2009, 11:32:53 »

eth0 = wan

iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth0 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.5.2:80

Пользователь решил продолжить мысль 29 Октября 2009, 11:33:21:

iptables -A INPUT -p tcp -m state --state NEW --dport 443 -i eth0 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.5.2:80

darzanebor · « **Ответ #8 :** 29 Октября 2009, 12:00:54 »

eth1 = wan
eth0 = lan

И вот из лана, из подсетки, когда ломлюсь на внешний IP то немогу получить доступ к apache, а он в свою очередь работает на машине 192.168.0.50, а порты 80 и 443 заворачиваются на него с eth1 (80.80.80.80)...

P.S. Чтобы тему новую не открывать, подскажите как убрать в апаче строку вывода версии системы, апача, openssl и патчей на сервере, это когда страница ненайдена, внизу строчка, или если nmap'ом просканить чтото типа (Apache 2.2+PHP5+Openssl/.x.x.x+Suhiois Patch+...)

AnrDaemon · « **Ответ #9 :** 29 Октября 2009, 17:48:30 »

"Я пытаюсь войти в дом через окно сидя в комнате перед компьютером".
Ты сначала разберись, что ты творишь, потом пиши сюда...

Настрой ресолвинг нормально, чтобы внутрь сети отдавался внутренний IP.

darzanebor · « **Ответ #10 :** 29 Октября 2009, 18:12:30 »

dns выдает нормальный внешний IP.

А так мне надо выяснить почему я с сетки немогу зайти на свой сервак а с инета могу =)

AnrDaemon · « **Ответ #11 :** 29 Октября 2009, 18:24:56 »

DNS выдает неправильный - потому что внешний - IP.
Ты не можешь войти в дом, уже находясь в доме.
Тебе не приходило в голову, что это несколько проблематично даже для трехмерного существа? Про одномерные линии связи уже и говорить не приходится.

darzanebor · « **Ответ #12 :** 29 Октября 2009, 19:25:48 »

Ok ладно туплю!
Нужно какой-то CNAME прописать или зону в DNS через view{}; для локалки поменять (для этого домена)?
Как проще?

AnrDaemon · « **Ответ #13 :** 29 Октября 2009, 19:58:56 »

Не как проще, а как правильнее. view по моему скромному разумению будет вернее.

darzanebor · « **Ответ #14 :** 29 Октября 2009, 21:34:00 »

Все понятно =)

Ну а вот если теоретически с помощью iptables SNAT???

Форум русскоязычного сообщества Ubuntu

Автор Тема: Проброс портов в сетку и использование изнутри (Прочитано 1840 раз)

darzanebor

Проброс портов в сетку и использование изнутри

Mam(O)n

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри

AnrDaemon

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри

AnrDaemon

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри

Unreg

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри

AnrDaemon

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри

AnrDaemon

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри

AnrDaemon

Re: Проброс портов в сетку и использование изнутри

darzanebor

Re: Проброс портов в сетку и использование изнутри