Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Как настроить проброс порта 80 если раздается инет?  (Прочитано 3064 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Дело в том, что у меня на сервере который раздает интернет впн+нат нужно сделать проброс порта 80 на вебсервер, который стоит в локалке. Боюсь что простой проброс направит все пакеты 80 порта на вебсервер и отрубит всем инет, помогите настроить iptables please. Есть две сетевухи одна в мир вторая в локалку...

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
есть действие DNAT, которое используется для port forwarding
есть действия MASQUERADE и SNAT,  выполняемые на шлюзе, которые используются для доступа локальной сети в более глобальную

что говорит
Цитировать
ip a
ip r
sudo iptbales-save
sudo iptables -vnL && sudo iptables -vnL -t nat

Оффлайн ivanov_d_o

  • Любитель
  • *
  • Сообщений: 67
    • Просмотр профиля
Если я ничего не напутал то
iptables -t nat - A PREROUTING -p tcp -d внешний ип --dport 80 -j DNAT --to-destination ип вэб сервера:80
iptables -t nat -A POSTROUTING -p tcp -d ип вэб сервера --dport 80 -j SNAT --to-source внешний ип

Оффлайн pterodaktil

  • Активист
  • *
  • Сообщений: 785
  • "Suum cuique" (Каждому свое)
    • Просмотр профиля
Одним из примеров громоздкой и бесполезной надстройки является интегрированная система WINDOWS фирмы Microsoft.

(c)Т.Э.Кренкель, А.Г.Коган, А.М. Тараторин. "Персональные ЭВМ в инженерной практике"

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Пробрасывать порты я умею. Вопрос не в этом. При такой конфигурации iptables возможен ли проброс 80 порта без потери раздачи инета?
Просто я боюсь, что бы все пакеты по 80 порту не полетели на веб сервер....

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  anywhere            !10.0.0.0/8          tcp dpt:www redir ports 3128
DNAT       tcp  --  anywhere             109.187.47.77.pptp.ntu-kpi.kiev.ua tcp dpt:ftp to:192.168.4.2:21

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             10.0.0.0/8
MASQUERADE  all  --  192.168.19.0/24      anywhere
MASQUERADE  all  --  anywhere             192.168.4.0/24
MASQUERADE  all  --  192.168.4.0/24      !10.0.0.0
MASQUERADE  all  --  anywhere             192.168.19.0/24
SNAT       tcp  --  anywhere             192.168.4.2         tcp dpt:ftp to:192.168.4.1

Chain OUTPUT (policy ACCEPT)
target     prot opt source   

Оффлайн pterodaktil

  • Активист
  • *
  • Сообщений: 785
  • "Suum cuique" (Каждому свое)
    • Просмотр профиля
А почему они должны полететь на веб сервер?
У вас же одновременно куча народу пользуется 80-м портом и все впорядке.
Одним из примеров громоздкой и бесполезной надстройки является интегрированная система WINDOWS фирмы Microsoft.

(c)Т.Э.Кренкель, А.Г.Коган, А.М. Тараторин. "Персональные ЭВМ в инженерной практике"

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25961
    • Просмотр профиля
Пробрасывать порты я умею. Вопрос не в этом. При такой конфигурации iptables возможен ли проброс 80 порта без потери раздачи инета?

Страх - следствие незнания. А не знаете вы, что соединения бывают исходящие и входящие.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
О, попробовал заработало!
А как пробросить порт на counter-strike ???

Оффлайн pterodaktil

  • Активист
  • *
  • Сообщений: 785
  • "Suum cuique" (Каждому свое)
    • Просмотр профиля
что-то мне подсказывает что аналогично, только порт другой
Одним из примеров громоздкой и бесполезной надстройки является интегрированная система WINDOWS фирмы Microsoft.

(c)Т.Э.Кренкель, А.Г.Коган, А.М. Тараторин. "Персональные ЭВМ в инженерной практике"

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Посмотрите, что в правилах проброса counter-strike не то:
sudo iptables -t nat -A POSTROUTING -s 192.168.4.2 -p tcp --sport 27015 -j SNAT --to-source 10.119.0.157:27015
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.119.0.157 -j DNAT --to-destination 192.168.4.2:80


Пользователь решил продолжить мысль 13 Март 2010, 13:46:30:
Отвечаю сам на свой вопрос. Все правильно, только один нюанс вместо tcp контра использует udp порт!!!! Это важно!
« Последнее редактирование: 13 Март 2010, 13:46:30 от maskimko »

 

Страница сгенерирована за 0.054 секунд. Запросов: 22.