iptables+portforwarding+dnat+snat / Unix-системы

ReSQL.ru

2.0.59

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables+portforwarding+dnat+snat / 7 сообщений из 7, страница 1 из 1

22.04.2013, 23:55

#38235817

Serebatos

Участник

Откуда: мск
Сообщения: 155
Рейтинг: 0 / 0

iptables+portforwarding+dnat+snat

Помогите, пожалуйста

много гайдов в инете, но не могу настроить у себя

есть сервер1: eth0(81.176.228.XXX) смотрит в инет, есть сервер2: tun0(10.8.0.6) - у него впн с сервером1: tun0(10.8.0.1).
пытаюсь пробросить порт 22012 сервера1 на 22 порт сервера2.

выполняю на сервере1:

Код: powershell

1.
2.
3.

iptables -A FORWARD -j ACCEPT
iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 22012 -j DNAT --to-destination 10.8.0.6:22
iptables -A POSTROUTING -s 10.8.0.0/24 -o eth0 -p tcp -j SNAT --to-source 81.176.228.XXX

смотрю в cat /proc/net/nf_conntrack | grep 22012 пишет:

Код: powershell

ipv4     2 tcp      6 116 SYN_SENT src=80.67.244.26 dst=81.176.228.ХХХ sport=59738 dport=22012 [UNREPLIED] src=10.8.0.6 dst=80.67.244.26 sport=22 dport=59738 mark=0 zone=0 use=2

где лажаю?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

22.04.2013, 23:56

#38235819

Serebatos

Участник

Откуда: мск
Сообщения: 155
Рейтинг: 0 / 0

iptables+portforwarding+dnat+snat

да, перед этим сделал

Код: powershell

echo 1 > /proc/sys/net/ipv4/ip_forward

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.04.2013, 14:32

#38236640

Мутаген

Гость

iptables+portforwarding+dnat+snat

Скорее всего, `Сервер 2' отправляет ответы по роутингу на дефолтный гейтвей мимо туннеля. См вывод ip get <адрес ssh-клиента> и если он показывает маршрут не в туннель, то надо конструировать PBR.

Ну или использовать portforwarding по ssh, намного проще.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.04.2013, 14:41

#38236665

Serebatos

Участник

Откуда: мск
Сообщения: 155
Рейтинг: 0 / 0

iptables+portforwarding+dnat+snat

Мутаген,

странно, что cat /proc/net/nf_conntrack | grep 22012 я выполняю на сервере1.
если бы сервер2 слал через дефолтный гейт, то запись бы не появилась на сервере1.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.04.2013, 15:09

#38236736

Мутаген

Гость

iptables+portforwarding+dnat+snat

По идее, слово UNREPLIED в contrack на сервере 1 как раз говорит нам, что пакет был отправлен, но ответный пакет не получен.
И команда должна быть ip route get, не ip get.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.04.2013, 23:27

#38237454

Serebatos

Участник

Откуда: мск
Сообщения: 155
Рейтинг: 0 / 0

iptables+portforwarding+dnat+snat

Мутаген,

делаю с сервера2:

Код: powershell

1.
2.
3.

serebatos@gate:~$ ip route get 10.8.0.1
10.8.0.1 via 10.8.0.5 dev tun0  src 10.8.0.6
    cache  ipid 0xd303

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

24.04.2013, 11:44

#38237852

MazoHist

Участник

Сообщения: 999
Рейтинг: 0 / 0

iptables+portforwarding+dnat+snat

Маршрут-то надо смотреть в сторону источника (80.67.244.26) - именно он должен указывать в vpn-туннель. Если маршрут указывает не туда, а править маршрутизацию возможности нет - то остается использовать только стороннее ПО (не iptables) для проброса портов - portforwarding по ssh, как уже предлагали, или netcat какой-нибудь.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables+portforwarding+dnat+snat / 7 сообщений из 7, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&tablet=1&tid=1483007]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	177ms
get topic data:	12ms
get forum data:	3ms
get page messages:	49ms
get tp. blocked users:	2ms
others:	12ms

total:	287ms