|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: ivan |
Дата: 07/01/2004 |
имам един рутер с външно ИП (да речем EXTIP) и сървър във
вътрешната мрежа с вътрешно ИП (да речем INTIP). пренасочил
съм заявките към външното ИП на порт 80 към сървъра. от
интернет мога да се свързвам със сървъра на порт 80, но от
вътрешната мрежа не мога да се свържа.
давам пример че май малко неясно се изразих:
от интернет:
exthost:~# nmap -sS -p 80 EXTIP
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on (EXTIP):
Port State Service
80/tcp open http
от вътрешната мрежа:
inthost:~# nmap -sS EXTIP -p 80
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at
2004-07-01 11:59 CEST
Interesting ports on EXTIP:
PORT STATE SERVICE
80/tcp filtered http
ще съм благодарен за всеки съвет
|
Отговор #1 |
От: Abuser_ |
Дата: 07/01/2004 |
Zdrasti,
pak ne stava mnogo iasno kakva e opitnata postanovka
toia router s 2 IP-ta, OK, a s kolko NICs?
"на порт 80 към сървъра" - kuv e toia survur? kakvo ip,
kolko nics? ima li neshto obshto s vutreshnata mreja?
dai poveche info i za tova prenasochvane, s kakvo go pravish
i pravila s koito go pravish
inache vseki moje da si gadae kakvo imash i kak da stane
tova, deto go iskash
|
Отговор #2 |
От: ivan |
Дата: 07/01/2004 |
sorry che sam se izrazil nejasno, eto malko danni
ruter s 2 karti ednata e s vanshno ip da rechem 5.5.5.5,
drugata e s vatreshno, da rechem 10.0.0.1. websarvarat e vav
vatreshnata mrezha da rechem s ip 10.0.0.2
prenasochvam kam sarvara s:
iptables -A PREROUTING -t nat -p tcp -d 5.5.5.5 --dport http
-j DNAT --to 10.0.0.2
return paketite ne se dropvat:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
ot internet njamam problemi da se svarzha, no da rechem ot
wytreshnata mrezha, primerno ot komputer s adres 10.0.0.3 ne
stava:
host-10.0.0.3:~# nmap -sS 5.5.5.5 -p 80
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at
2004-07-01 11:59 CEST
Interesting ports on 5.5.5.5:
PORT STATE SERVICE
80/tcp filtered http
blagodarja predvaritelno
|
Отговор #3 |
От: Abuser_ |
Дата: 07/01/2004 |
Eiii, mnogo se skrundzate da datete podrobno info za
problema si :)))
(Lichno az smiatam, che e dobre chovek da "flood"-ne foruma
s vsiakakvo info za daden problem, ako durji da mu bude
pomognato eventualno razbira se. V sluchaia primerno celia
rc.firewall ill rc.iptables ili kakto i da se kazva file-a s
iptables rules)
Znachi ako pusnesh tcpdump na 10.0.0.2 i probvash (ot
10.0.0.3) "telnet 5.5.5.5 80" shte vidish, che zaiavkite ot
i kum 10.0.0.2 otivat/idvat ot 10.0.0.3. Demek zaiavkata
idva krivo/liavo otkudeto triabva, ama 100% zaminava tam,
kudeto ne triabva - kum 10.0.0.3, po etherneta, huba,
switcha, etc., t.e. ne se vrusha kum 5.5.5.5 i t.n . Ama
10.0.0.3 izobshto ne iska da komunikira v tozi moment s
10.0.0.2, shtoto toi si puska zaiavkata kum 5.5.5.5 i
ochakva ot 5.5.5.5 vsichko da e na 6.
S edna duma, IP-to 10.0.0.3 ne se maskira ot routerskoto IP,
za koeto samo moga da predpolagam, shtoto ne znam kakvo ima
v scripta, a samo moga da gadaiaaaa.
Ako eth0 e vunshnia interface i praviloto za masquerading-a
ti e neshto kato:
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j
MASQUERADE
togava ako mahnesh "-o eth0" bi triabvalo da ti se reshi
problema, shtoto router-a ti shte maskira vutreshnoto ti IP,
s koeto se connectvash, t.e. 10.0.0.3, s niakoe ot
negovite:
A. s 5.5.5.5 - ako izlizash prez eth0 kum internet
B. s 10.0.0.1 - ako se connect-vash kum 5.5.5.5:80 i se
redirectvash kum 10.0.0.2
pone pri men tova minava :)
moje da poglednesh
http://www.experts-exchange.com/Security/Linux_Security/Q_20642728.html
tuk razni useri s podoben problem obsujdat razni neshta i
ima siakash rezon v tehnite comments.
|
Отговор #4 |
От: Григор Лекаров (hammerfall (a) bitex[ точка ]bg) |
Дата: 07/01/2004 |
Погледни малко по внимателно netfilter и по-точно SNAT и
DNAT. Ще са ти много необходими за да можеш да избираш
рутера от вътрешната мрежа и да ти се редиректва трафика
към веб сървъра. Като казах и редиректване, я прегледай и
REDIRECT. Трябва много добре да си изясниш все пак какво
прави SNAT и DNAT и как функционират. Това което си написал
ми изглежда като закърпено положение колкото да работи, или
иначе казано копирани правила от някоя книга или форум.
Успех!!!
|
<< Как се инсталира Slackware 10 (2
) | Apache problem (2
) >>
|
|
|
|
|