Изпечатай

[OMA]

Здравейте.
 Това което искам да направя е много просто. Искам при
 обръщение към 80-ти порт на сървърната ми машина 192.168.0.x
 заявката да се пренасочва към компютър 192.168.1.y от
 вътрешната ми мрежа. Знам, че това става с DNAT на iptables,
но нещо при мен не става връзката.
Това което правя е:
 iptables -A PREROUTING -t nat -p tcp -d 192.168.0.x --dport
80 -j DNAT --to 192.168.1.y:80
FORWARD веригата ми е ACCEPT при всяко положение.

 След това като пусна браузъра вече не се отваря web
 страницата на сървъра ми (явно пакетите се пренасочват към
 другата машина), но и не се отваря сайта от другият ми
компютър. Браузърът си цикли и достига timeout.

 Мисля, че подробно обясних какъв е проблема. Ако имате
 някакви предложения какво пропускам или какво бъркам моля
споделете ги.
Благодаря

П.П. Успях да направя port forwarding с ssh по този начин:
ssh -L 80:192.168.1.y:80 192.168.0.x
Така всичко си работи, но с iptables е много по-елегантно!

Тъй като поставих този въпрос в "Въпроси-Отговори" и получих няколко некомпетентни, дразнещи предложения и мнения, моля пишете само ако знаете наистина нещо по въпроса или сте правили успешен port forwarding някога.

[kolio_kolev]

Ти кого наричаш некомпетентен !?
Виж пак във "Въпроси-Отговори" !

[OMA]

Добре де.... малко силно се изказах, но все пак ще ти направя едно сравнение с copy-paste на това което ми написа:

аз написах:
Това което правя е:
iptables -A PREROUTING -t nat -p tcp -d 192.168.0.y --dport
80 -j DNAT --to 192.168.1.y:80

ти написа:
Пробвай:
/sbin/iptables -t nat -A PREROUTING -p tcp -d 192.168.0.y
--dport   80 -j DNAT --to 192.168.1.y:80


Каква е разликата м/у двете? '>

[the_real_maniac]

Сигурен ли си в сървъра , към койъо пренасочваш ! , че  е конф. правилно .

добави едно -m tcp преди -p tcp и пробвай

разлиакта м/у неговия и твоя пример е , че неговия пример е с / чрез абсолютен път '>

[kolio_kolev]

Ти не разбра ли, че аз потвърдих това, което си написал...
И че реално това правило работи!
Просто проблема не ти е в праволото за port forward, а някъде другаде...


Кольо Колев

Прави ми впечатлени следното:
Машината (рутера доколкото разбирам) е от мрежа 192.168.0.0 а пренасочваме към 192.168.1.0.
Та ако мрежовата маска е 24 бита то има ли указан път (рутинг) към 192.168.1.0?
Покажи също така веригата FORWARD на firewalla.
И последно - в man iptables за DNAT target е указано: --to-destination. Не съм сигурен дали само --to се възприема коректно.

Кажи докъде си я докарал. Ще се опитаме да помагаме.

[OMA]

Към the_real_maniac:
Сигурен съм в сървъра защото като се обърна към него с броузър(192.168.1.y) ми изплюва страницата.
Що се отнася до -m tcp няма нужда защото правилото за съвпадение на пакетите работи. Защото след като направя веригата вече не мога да се обърна към порт 80 на съвъра, т.е. пакетите наистина се пренасочват, но накъде незнам.
tcpdump ми показва, че не напускат изходните интерфейси.
tcpdump -qnn -i eth0 | grep 192.168.0.x
tcpdump -qnn -i eth1 | grep 192.168.1.y
не дават никакъв резултат.

Та това което ми се струва, е че проблема не е в iptables веригата а нещто със самия DNAT или нещо друго. Просто пакетите отиват някъде ...незнам къде.

Към Koko:
не е проблема в --to понеже веригата се изпълнява. --to = --to-destination
Да има routing към 192.168.1.0. А веригата FORWARD е АCCEPT за всичко.

Към kolio_kolev:
Да май наистина проблема ми е някъде другаде ама въпроса е къде... Четох какво ли не и навсякъде пише, че с тази верига се постига port forwarding

Благодаря ви, че се отзовахте на моя проблем'> ... ама като гледам май нищо няма да излезне'>(

Разрешен ли е forward в ядрото
echo "1" > /proc/sys/net/ipv4/ip_forward ?

[OMA]

Да. Това ми е в .rc скриптовете
echo 1 > /proc/sys/net/ipv4/ip_forward

Значи аз май имам като твоя проблем '>

192.168.1.1 - router
192.168.1.90 - http(d) server / apache '>

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to 192.168.1.90:80

Дотук на всички им е ясно, нали ...

Такаaa ... Kлиент различен от 192.168.1.x няма проблем с връзка към моето апаче '> , т.е http://my.real.ip.ok се отваря от всичко живо , но когато вътр. клиент (той е само един де , но '> ) се опита да отвори въпросният сайт/сървър/страница чрез http://my.real.ip.ok броузъра цикли , както казаха по-горе и timeout '>

Дефакто наистина по правилно е с redirect , защото това е пренасочване, но нали идеята е да е скрито зад НАТ цялата тази история '> hmm ще трябва да се чете още iptables howto '>

Но и с redirect не става '> / не работи -> не се отваря страницата по реланото ип от вътрешен клиент , дори и от самия рутер ?!.

Честно казано и идея си няма защо става така ...

Със ssh проблем никакъв .:

iptables -t nat -A PREROUTING -m tcp -p tcp -d 192.168.1.1 --dport 22 -j DNAT --to 192.168.1.90:22 - работи си ?!.

Да не би проблема да е в самия httpd сървър / apache-то ?

probvai v httpd.conf

<VirtualHost *>
ServerName 192.168.0.y
Redirect / http://192.168.1.y/
</VirtualHost>

[Ivan_storm]

Проблема не е в DNAT според мен Сложи едно правило
IPTABLES -A  INPUT -m state --state NEW -j ACCEPT
IPTABLES -A  input -m state --state ESTABLISHED,RELATED -j ACCEPT
ако го нямаш , на вътрешната ти машина  с апа4а .
Ако не е от това си огледай дригите настроики на Iptables , свързани с входящите вериги ,защото проблемите винаги започват от там.

[Филип Бонев]

Здравейте,

Това дето ще го постна не знам дали ще ви помогне(и не знам дали е правилно), но аз така съм си настройл vnc,ssh,warcraft и бачкат. При условие, че това ми сървъра в къщи и ги прави от интернет към домашните компове,но и от домашните си работата тея работи.

Цитат

$IPTABLES -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 5800 -j DNAT --to-destination 192.168.0.3:5800 $IPTABLES -A FORWARD -p tcp -i $EXTIF -o $INTIF -d 192.168.0.3 --dport 5800 -j ACCEPT

Тук 192.168.0.3:5800 е машина с vnc.

Ако не се лъжа май на това му се казваше DMZ и мисля, че описано в howto-тата и документацията на netfilter

[ntenev]

the_real_maniac

При теб случката е друга. Клиента търси 192.168.1.1 и очаква отговор от него, но го получава от 192.168.1.90. Тъй като той не е питал 192.168.1.90 нищо (или поне не директно) отговорите се игнорират. Предполагам че нещата работят за мрежи различни от 192.168.1.х защото имаш и някакво маскиране (или SNAT).

OMA
При теб предполагам проблема е същия.
Един съвет:

вместо
tcpdump -qnn -i eth0 | grep 192.168.0.x

използвай
tcpdump -qnn -i eth0 host 192.168.0.x
tcpdump -qnn -i eth0 port xx

grep-ването на целия изход от tcpdump може да се окаже тежичка задача за по-малки машини. това което съм забелязал като резултата е че редовете излизат по 15 през голям интервал от време

Поздрави !

[melwin]

ето така:
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.x --dport 80 -j DNAT --to 192.168.1.y
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.y --dport 80 -j SNAT --to 192.168.0.x

едит: ntenev доколкото успях да разбера .. в постановката има рутер!