|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Niki |
Дата: 03/23/2007 |
Здравейте ;)
Сутиацията е следната. Линукс Slackware 11 с реален(public)
ИП адрес на eth1 като eth0 има връзка със рутер ASUS RX-3041
BROADBAND ROUTER със кроснат или прав кабел несъм сигурен но
мисля че това няма значение.
След рутера(Асус) има пц(windows xp) с прайвит ип адрес
(192.168.1.3)
и със следното нещо в линукс-а го достъпвам през ремоте
десктоп извън тази мрежа извън вкъщи.
#Remote Desktop###########################################
iptables -t nat -A PREROUTING -p tcp -d 11.22.33.44 --dport
3389 -j DNAT --to 192.168.1.3:3389
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
--to 192.168.1.3:3389
##########################################################
В случая 11.22.33.44 е реалния (public) ип адрес.
От въпросното пц 192.168.1.3 достъпвам през ie browser-a
рутера който е на адрес 192.168.1.1 и мога да ровичкам по
настройките.
Въпроса ми е следния;
Как мога извън тази мрежа да достъпвам рутера като използвам
реалния(public) ип адреса на произволен порт. Примерно
11.22.33.44:8080 и да виждам рутера който е на адрес
192.168.1.1?
Пробвах по този начин но неуспешно... :(
#iptables -t nat -A PREROUTING -p tcp -d 11.22.33.44 --dport
8080 -j DNAT --to 192.168.1.1:8080
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT
--to 192.168.1.1:80
#iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j
ACCEPT
#iptables -A PREROUTING -t nat -p tcp -d 11.22.33.44 --dport
80 -j DNAT --to 192.168.1.2:80
|
Отговор #1 |
От: zer0byte |
Дата: 03/23/2007 |
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT
--to 192.168.1.3:3389
|
Отговор #2 |
От: ka |
Дата: 03/23/2007 |
какви са ИП-тата на рутера от двете му страни ? как е
зададено рутирането в линукса към 192.168.1 ? на кой порт е
настройката на рутера ? рутера ДМЗ ли има ? има ли секюрити
настройки за администриране рутера - да не би само от
192.168.1 да пуска?
|
Отговор #3 |
От: Niki |
Дата: 03/23/2007 |
Забравих да спомена, че не ползвам никакви рутинг протоколи
от въпросния хардуерен рутер (асус)(192.168.1.1)
Не ползвам WAN порта а само лановете.
Схемата е следната:
#1 Linux Slackware - 2 Lan карти;
eht1 - 11.22.33.44 = public ip address
eth0 - 192.168.1.5
#2 Хардуерен рутер Асус Broadband Router with 4-Port
Switch.
Като eth0 е свързан с лан1 на суитча чрез кроснат кабел.
#3 Workstation (Windows Xp Pro 192.168.1.3) свързан с лан2
на суитча.
И понеже осъществявам връзка през remote desktop до
192.168.1.3 (Windows Xp) ми се иска да мога да достъпвам
хардуерния рутер (192.168.1.1) през произволен порт. Пример
11.22.33.44:1234 като 11.22.33.44 е публик ип адреса на
линукс eth1
Някакви идеи?!
Благодаря предварително ;)
|
Отговор #4 |
От: Dean |
Дата: 03/23/2007 |
iptables -t nat -I PREROUTING -p tcp --dport 8080 -d
11.22.33.44 -j DNAT --to 192.168.1.1:80
|
Отговор #5 |
От: Dean |
Дата: 03/23/2007 |
Пояснение - когато използвате пренасочване на пакетите е
добра политика да се указва кой е източника и приемника на
пакетите. В противен случай рискувате трафик на дадения порт
да бъде препратен към неправилен адрес. За пример - "помоща"
на zer0byte. Я си представи ако от машина зад този рутер с
адрес 192.168.1.15 се опиташ да достъпиш отдалечен достъп до
машина извън нейния сегмент какво ще стане? Рутера изпраща
пакетите на този порт безусловно към машина с адрес
192.168.1.3
Успех с рутерчето!
|
Отговор #6 |
От: Wiki |
Дата: 03/26/2007 |
линукс 1.2.3.4 реален адрес, 5.6.7.7 адрес в мрежата междсу
линкс и рутера
рутер 5.6.7.8
ХП 9.10.11.12
от адрес 222.222.222.222 към 1.2.3.4
Това е ситуацията нали?
iptables -t nat -A PREROUTING -dport 3389 -J DNAT --to
5.6.7.8
на рутреа правиш пак DNAT към 9.10.11.12
|
Отговор #7 |
От: пламен |
Дата: 03/26/2007 |
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 11.22.33.44
--dport 1234 -j DNAT --to-destination 192.168.1.1:80
iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth1 -j
SNAT --to-source 11.22.33.44
FORWARD-a accept ...
Частни мрежи не се рутират !
|
Отговор #8 |
От: Vladsun (vsmin __@__ mail< dot >bg) |
Дата: 03/29/2007 |
Не съм сигурен, че съм те разбрал, но виж NETMAP
разширението на iptables - прави 1:1 port mapping.
|
<< маунтване на HD под убунту (1
) | MySQL (1
) >>
|
|
|
|
|