Титла: За мрежата
Публикувано от: SinFull в Sep 27, 2004, 19:03
Доста неща тея дни изчетох за рутинг и прерутинг и стигнах до извода че за да може тези ми машини които седят зад върховния ми линукс да виждат лан нещата трябва да направя PREROUTING Та въпроса ми е следния може да се каже че не е точно въпрос а ще искам съвет и напътствия да не обаркам нещо
пример : iptables -t nat -A PРЕROUTING -p tcp -d 'REAL IP' --dport 27015 -j DNAT --to 192.168.10.1:27015
1.Така ли трябва да изглежда работата ?
2.А ако искам портовете да са повече от един как трябва да изглежда
3.Ако може някой да ми напише ясен пример за пренасочване на всички входящи пакети на портове от 27000 до 27020 от ЕТН0 към ЕТН1
където ЕТН0 е Real IP а ЕТН1 е за вътрешната мрежа
10х предварително
пример : iptables -t nat -A PРЕROUTING -p tcp -d 'REAL IP' --dport 27015 -j DNAT --to 192.168.10.1:27015
1.Така ли трябва да изглежда работата ?
2.А ако искам портовете да са повече от един как трябва да изглежда
3.Ако може някой да ми напише ясен пример за пренасочване на всички входящи пакети на портове от 27000 до 27020 от ЕТН0 към ЕТН1
където ЕТН0 е Real IP а ЕТН1 е за вътрешната мрежа
10х предварително
Титла: За мрежата
Публикувано от: в Sep 27, 2004, 19:38
| Цитат (SinFull @ Сеп. 27 2004,20:03) |
| Доста неща тея дни изчетох за рутинг и прерутинг и стигнах до извода че за да може тези ми машини които седят зад върховния ми линукс да виждат лан нещата трябва да направя PREROUTING Та въпроса ми е следния може да се каже че не е точно въпрос а ще искам съвет и напътствия да не обаркам нещо пример : iptables -t nat -A PРЕROUTING -p tcp -d 'REAL IP' --dport 27015 -j DNAT --to 192.168.10.1:27015 1.Така ли трябва да изглежда работата ? 2.А ако искам портовете да са повече от един как трябва да изглежда 3.Ако може някой да ми напише ясен пример за пренасочване на всички входящи пакети на портове от 27000 до 27020 от ЕТН0 към ЕТН1 където ЕТН0 е Real IP а ЕТН1 е за вътрешната мрежа 10х предварително |
не трябва ли щом си с iptables да е :
iptables -t nat -A PREROUTING -d ETH0 -p tcp -m tcp --dport 27015 -j DNAT --to-destination ETH1:27015
Титла: За мрежата
Публикувано от: SinFull в Sep 27, 2004, 20:29
Ам'чи може и така да е аз нали затова искам съвет от вас ако съм сгрешил да ме поправите ..... а защо -m и как става да не е определен порт а port range от .... до ....
Титла: За мрежата
Публикувано от: в Sep 28, 2004, 09:35
| Цитат (SinFull @ Сеп. 27 2004,21:29) |
| Ам'чи може и така да е аз нали затова искам съвет от вас ако съм сгрешил да ме поправите ..... а защо -m и как става да не е определен порт а port range от .... до .... |
Здрасти !
Като съм написал, "нетрябва ли ?" съм се опитал да те предразположа да огледаш нещата и да помислиш ! Аз знам че съм ти дал правилния синтаксис и правилната команда, но е желателно ти да огледаш още веднъж и да решиш !
Ако толкова те мъчи за 30 порта да напишеш редирект-а в конфигурационния файл на iptables замисли се дали неможе да си направиш мързеливо shell скриптче
!А директния отговор на въпроса е: не, трябва да опишеш всеки редирект.
Ако е до блокиране примерно на портове, може да зададеш обхват или да изброиш на един ред но не повече от 5.
Желателно е да погледнеш това тук
Титла: За мрежата
Публикувано от: SinFull в Sep 28, 2004, 17:12
Благодаря много за отговора и за приложеното четиво /макар че тва съм го чел / но все пак е помощ в правилната насока.Не искам мързеливи скриптове по добре е да се научиш нещо как става и защо става така.И другото което искам да кажа е че в някои случаи колкото и да четеш пак не стават нещата друго си е да видиш един добър нагледен прост пример на самото нещо което те интересува.Малко по малко се научават нещата
Защото примерно един афганистански студент в българия след една година ще може да прочете гладко "Аз съм българче" но това не го прави Българин
Мерси много пак за инфото ще пробвам как стоят нещата с iproute2
/ но все пак е помощ в правилната насока.Не искам мързеливи скриптове по добре е да се научиш нещо как става и защо става така.И другото което искам да кажа е че в някои случаи колкото и да четеш пак не стават нещата друго си е да видиш един добър нагледен прост пример на самото нещо което те интересува.Малко по малко се научават нещата Защото примерно един афганистански студент в българия след една година ще може да прочете гладко "Аз съм българче" но това не го прави Българин
Мерси много пак за инфото ще пробвам как стоят нещата с iproute2
Титла: За мрежата
Публикувано от: SinFull в Sep 30, 2004, 05:54
Искам само да отбележа че при задаване на предложения ми пример за препратка ми изписва следната грешка :
iptables v1.2.8: Bad IP address `eth1'
някъкви идеи относно това
Благодаря
P.S в последствие се появи и това
:~# iptables -t nat -A PREROUTING -d eth0 -p tcp -m tcp --dport 27015 -j DNAT --to-destination 192.168.10.1:27015
iptables v1.2.8: host/network `eth0' not found
Сега какво да го правя
iptables v1.2.8: Bad IP address `eth1'
някъкви идеи относно това
Благодаря
P.S в последствие се появи и това
:~# iptables -t nat -A PREROUTING -d eth0 -p tcp -m tcp --dport 27015 -j DNAT --to-destination 192.168.10.1:27015
iptables v1.2.8: host/network `eth0' not found
Сега какво да го правя
Титла: За мрежата
Публикувано от: VladSun в Oct 01, 2004, 22:57
Предполагам, че на теб би ти вършило работа:
iptables -t nat -A PREROUTING -i eth0 -d your.real.ip.address -p tcp --dport xxx -j DNAT --to 192.168.1.10:xxx
iptables -t nat -A PREROUTING -i eth0 -d your.real.ip.address -p tcp --dport xxx -j DNAT --to 192.168.1.10:xxx
Титла: За мрежата
Публикувано от: в Oct 02, 2004, 08:59
| Цитат (Guest @ Сеп. 27 2004,20:38) |
| 3.Ако може някой да ми напише ясен пример за пренасочване на всички входящи пакети на портове от 27000 до 27020 от ЕТН0 към ЕТН1 където ЕТН0 е Real IP а ЕТН1 е за вътрешната мрежа 10х предварително[/quote] не трябва ли щом си с iptables да е : iptables -t nat -A PREROUTING -d ETH0 -p tcp -m tcp --dport 27015 -j DNAT --to-destination ETH1:27015 |
пич, сам искаш пример с ЕТН0 и ЕТН1 и после в конфигурацията самия ти не ги заменяш с правилните адреси
е нема как да стане това при условие че искаш да укажеш адреси в командата, а си копирал насляпо поста и указваш интерфейсен указател !!!замести ЕТН0 и ЕТН1 написаните от мен в командния синтаксис с твоите адреси, прегледай дали нямаш грешка в изписването и ще сработи !
относно "мързеливото" скриптче, мисля че не си ме разбрал правилно.
успех !!!
Титла: За мрежата
Публикувано от: SinFull в Oct 05, 2004, 18:24
Съжалявам грешката е моя наистина объркал съм малко нещата но както и да е втпроса е в това че и след оправянето на грешката пак нищо не стана