|
|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
| Въпрос |
| От: koko |
Дата: 04/06/2004 |
Имам проблем с изграждането на един VPN и настройките на
forward.
Имам една основна машина 10.10.10.1 до която искам да
закарам
достъп.
Напрали съм втора машина с две карти 10.10.10.2 и
10.10.11.1.
Интересува ме какви настройки трябва да направя на втората
машина така, че за всички портове без 22, когато от машина с
адрес 10.10.11.x се обърна към 10.10.11.1 да виждам същите
портове на 10.10.10.1.
Дано да е станало ясно.
Целта ми е машината с двете мрежови платки да остана
прозрачна и само да прехвърля трафика.
На двете машини разбирасе е linux и нямам претенции каква ще
е дистрибуцията.
|
| Отговор #1 |
| От: OMA (oma __@__ abv[ точка ]bg) |
Дата: 04/06/2004 |
Елементарно!
Направил съм една ASCII схема на твоята ситуация да се види
дали съм разбрал правилно какво точно искаш да направиш. При
заявка от 10.10.11.х към 10.10.11.1, заявката да се препрати
към 10.10.10.1 (без 22 порт).
Ако правилно съм разбрал това са двете вериги които ти
трябват:
eth0
10.10.10.1]-----[10.10.10.2]
[10.10.11.1]---------[10.10.11.x]
eth1
#iptables -t nat -A PREROUTING -p tcp ! --dport 22 -i eth1
-j DNAT --to-destination 10.10.10.1
#iptables -t nat -A POSTROUTING -p tcp ! --dport 22 -o eth0
-j SNAT --to-source 10.10.10.2
eth0 и eth1 са ти двата интерфейса
И да черпиш!:)
|
| Отговор #2 |
| От: koko |
Дата: 04/08/2004 |
Нещо не става.
пробвах да видя какво е направило след тези команди и
резултата е:
iptables -L -xvn
Chain INPUT (policy ACCEPT 3632 packets, 327861 bytes)
pkts bytes target prot opt in out
source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out
source destination
Chain OUTPUT (policy ACCEPT 3384 packets, 317220 bytes)
pkts bytes target prot opt in out
source destination
|
| Отговор #3 |
| От: OMA (oma__at__abv __точка__ bg) |
Дата: 04/08/2004 |
Първо ако искаш да видиш какво е станало след въвеждането на
тези вериги трябва да погледнеш NAТ таблицата на iptables
#iptables -t nat -L
Виж, че ти не гледаш правилните вериги! При мен това е
тествано и работи безотказно. По този начин се прави port
forwarding в твоят случай -> описано е в документацията на
netfilter-a
|
| Отговор #4 |
| От: koko |
Дата: 04/08/2004 |
Успях да видя описанието, но въпреки то не работи.
Сега имам:
iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere
tcp dpt:!ssh to:192.168.101.97
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp -- anywhere anywhere
tcp dpt:!ssh to:192.168.8.1
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Опитвам се да отворя port 8080 през telnet на адрес
192.168.8.1 (това трябва да ми е "прозрачната" машина) и не
успявам.
На практика само на 192.168.101.97 имам услуга на port
8080.
Имам ли някаква грешка в описанието на таблиците?
|
| Отговор #5 |
| От: Григор Лекаров (hammerfall __@__ bitex[ точка ]bg) |
Дата: 04/08/2004 |
Искам да те попитам как ми слиш да отвориш този порт след
като тази машина ти препраща всичко??? Запознай се малко с
iptables преди да задаваш безмислени въпроси. Има
предостатъчно статии за това. Ако не погледни
http://iptables.org prerputing веригата ти е преди локалния
процес и портовете на машината ти дори и да са отворени те
се поемат от веригата и се предават на другата мреажа.
Хайде успешно четене!!!
|
<< Slack boot disk???? (3
) | Novell NetWare (1
) >>
|
|
|
|
|
|
