Jump to content

iptables nat loopback


Ronalds
 Share

Recommended Posts

Zinu ka te ir Linux guru.

 

Dots linux rūteris. 

 

Viņš nodrošina NAT lokālajam tīklam. Un pārsūta 80,443 portu uz www serveri kas atrodas lokālajā tīklā. 

Slēdzoties klāt pie 1.1.1.1 (pieņemsim ka tāda ir rūtera ārējā ip) ports 80 nonākam uz www servera (192.168.0.10).

 

iptables -t nat -A PREROUTING -p tcp -i eth0 -d $IP_EXT --dport 80 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p tcp -i eth0 -d $IP_EXT --dport 443 -j DNAT --to 192.168.0.10
 

 

Problēma ir tur ka slēdzoties klāt pie 1.1.1.1:80 no iekšējā tīkla nonākam nekur.... 

Varētu slēgties no iekšējā tīkla pie 192.168.0.10 (nevis 1.1.1.1) bet ir tāds sīkums kā dns, kurš www.firma.lv resolvē kā 1.1.1.1 

 

 

Jau iepriekš paldies par palīdzību!

 

 

 

 

 

 

Link to comment
Share on other sites

martins256

Cik saprotu, tad et0 ir ārējais tīkls. Man liekas, ka pieprasījums no lokālā tīkla nemaz nenonāks uz eth0, tāpēc sākumā varētu pamēģināt izņemt "-i eth0". 

Vēl vari palabot uz katra lietotāja datora /etc/hosts vai maršrutētājā pašā noskaņot iekšējo dns serveri, lai rāda uz lokālo IP.

  • Patīk 1
Link to comment
Share on other sites

elementāri:

pieņemsi ka:

 web ir 192.168.0.10

 es esmu 192.168.0.5

 

*es sledzos pie publiskās 1.1.1.1:80

*ruteris pieprasijumu pārsūta uz 192.168.0.10

*192.168.0.10 redz ka pieprasijums nāk no 192.168.0.5

*192.168.0.10 zina ka 192.168.0.5 abi ir vienā subnetā un tamdēļ atbildi sūta uz 192.168.0.5

 pa tiešo nevis caur ruteri

*192.168.0.5 saņem atbildi no 192.168.0.10 un izmet atbildi  jo atbildi gaida no 1.1.1.1

 

tas ko vajag tev:

*masquarade/source nat: trūkums tāds ka web logos redzesi ka konekcija nākusi no rutera ip

*uzturi iekšējo dns kas www.adrese.lv pārsuta uz 192.168.0.10

Labots - hidro
Link to comment
Share on other sites

Pamēģini pievienot šādu komandu: iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 192.168.0.1

Labots - zachnug
Link to comment
Share on other sites

hidro, problēmas būtība ir skaidra, nav skaidrs risinājums.  Tas ka lokālajiem klientiem redzēšu web logā ka viņi nāk no rūtera IP, tas derēs, man nevajag statisku cik bieži darbinieki uzņēmuma web lapu skatās;) 

 

zachnug, neplīdzēja.. etho tas ir domāts wan vai lan interfeiss?

 

Galvenais ka bakstoies pēc webā atrodamiem padomiem piem pēc šī http://www.ossramblings.com/ip_tables_trickery vienu momentu aizgāja...  Bet kad mēģināju komandas skriptā sarakstīt - neiet vairāk... Kaut kāds sviests.. Pagaidām uzliku lokālo dns serveri. bet tas nav labs risinājums.....  Nedomāju ka būs tik sarežģīti.... :(

Link to comment
Share on other sites

Un šādi arī nestrādā?

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 1.1.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10
iptables -t nat -A POSTROUTING -d 192.168.0.10 -s 192.168.0.0/24 -p tcp --dport 80 -j SNAT --to-source 1.1.1.1

Kaut kas stipri līdzīgs tam trickery.

Link to comment
Share on other sites

 

 

zachnug, neplīdzēja.. etho tas ir domāts wan vai lan interfeiss?

Pieņēmu, ka eth1 ir LAN puses interfeiss, ja nē, tad jānorāda nepieciešamais. Komanda realizē to, ko @@hidro, ieteica par

 

masquarade/source nat
- visam TCP, kas nāk no LAN IP adrešu diapazona un iziet no rūtera LAN interfeisa, paketē jāaizvieto avota IP uz rūtera IP. Arī @@maize, ieteikuma komanda ir līdzīga.

Varbūt žurnalēšanas komandas ieslēgšana palīdzētu analīzei, piemēram:

iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet: "

(rezultātam jāparādās /var/log/debug failā).

Ja diagnostika nepalīdz, tad jāskatās visi ugunsmūra nosacījumi kopumā - varbūt kāda politika pēc noklusēšanas ir aizliedzoša un līdz POSTROUTING apstrādei nemaz nenonāk.

Labots - zachnug
Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...