Тема: iptables DNAT -> port_forwarding (Прочетена 9841 пъти)

jmut · « -: Jan 26, 2005, 15:48 »

Гледах във форума разни теми по въпроса. Нещата са близки но не разбирам какво грешно правя че да не става. Нещо елементарно се опитвам да направя.
Когато някой се опита да се конектне към моята кутия http://ip.addres:8080 да го пренасоча към дир.бг примерно.

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to-destination 194.145.63.12

Има си един интерфейс, ползвам Slack 10 2.4.26
Пуснал съм ip_forward. Зареден ми е модула iptable_nat (autoclean) - btw така и не мога да разбера кое ми зарежда модула, щото не е компилиран въртре а си е отделен модул; има ли лесен начин да разбера кое го зарежда (от къде).

На въпросната настройка като пробва някой да се конектне му дава 110->Connection timeout, а не 111->Connection refused, тоест се опитва да прави нещо

'>
Нямам пуснато apaче или нещо такова.

« **Отговор #1 -:** Jan 26, 2005, 16:03 »

Това няма ли да пренасочи порт 8080 на 194.145.63.12 ?
Виж дали с --to-destination 194.145.63.12:80 дали няма да стане, ако не ти е целта точно това

jmut · « **Отговор #2 -:** Jan 26, 2005, 16:06 »

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 194.145.63.12:80
и така съм пробвал и не става.

« **Отговор #3 -:** Jan 26, 2005, 16:41 »

A пробвал ли си:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 194.145.63.12:80
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 80 -j DNAT --to-destination 194.145.63.12:80

Побвах и така стана при мен

« **Отговор #4 -:** Jan 26, 2005, 16:55 »

Цитат (Guest @ Ян. 26 2005,17:41)

A пробвал ли си:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 194.145.63.12:80
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 80 -j DNAT --to-destination 194.145.63.12:80

Побвах и така стана при мен

не става.
я ми кажи имаш ли компилирано или като модул.
NAT of local connections - намера се в menuconfig->Networking options->IP:Netfilter Configuration

« **Отговор #5 -:** Jan 26, 2005, 17:09 »

Chain PREROUTING (policy ACCEPT 6124 packets, 985K bytes)
pkts bytes target prot opt in out source destination
3 288 DNAT tcp -- eth0 any anywhere anywhere tcp dpt:http to:194.145.63.12:80
0 0 DNAT udp -- eth0 any anywhere anywhere udp dpt:http to:194.145.63.12:80

Chain POSTROUTING (policy ACCEPT 1195 packets, 72423 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

3 пакетчета се трупат на всеки опит. Нямам firewall сложен така че не може той да е проблема.

VladSun · « **Отговор #6 -:** Jan 26, 2005, 17:36 »

Така като чета, почвам да се съмнявам, че твоята машина се опитва да рутира ИП-то на дир.бг зад нея (т.е. като мине през FORWARD), което естествено няма да стане.

Държа да отбележа, че изобщо не съм сигурен в това, което казвам - просто предположение.

Пробвай с ИП, което съществува зад твоята машина - ако стане значи е това.

« **Отговор #7 -:** Jan 26, 2005, 17:53 »

Цитат (VladSun @ Ян. 26 2005,18:36)

Така като чета, почвам да се съмнявам, че твоята машина се опитва да рутира ИП-то на дир.бг зад нея (т.е. като мине през FORWARD), което естествено няма да стане.

Държа да отбележа, че изобщо не съм сигурен в това, което казвам - просто предположение.

Пробвай с ИП, което съществува зад твоята машина - ако стане значи е това.

честно казано не разбрах какво предлагаш

'>
и какво смяташ че се опитва да прави компа ми.

Аз хванах пакетчетата и видях че моята машина връща ICMP TTL exceeded in transit в отговор на SYN пакета на човека който се опитва да отвори връзката.
В ICMP хеадъра на пакета source: този който иска да се свърже
destination: ip.na.dir.bg

VladSun · « **Отговор #8 -:** Jan 26, 2005, 18:18 »

В chain PREROUTING сменяш dest IP-то, след PREROUTING твоята машина трябва да вземе решение - дали знае какво да прави с пакета (и да го прати на INPUT) или не знае (ти не си дир.бг, нали

'> ) и за това го праща към FORWARD. А от FORWARD според мен се препраща към ДРУГИТЕ интерфейси, където естествено няма дир.бг и затова оставаш само с SYN packet. А това, че получаваш "TTL exceeded in transit" говори, че някъде заявката зацикля (най-вероятно в твоята машина). Пусни един tcpdump да видиш какво става ....

RedIce · « **Отговор #9 -:** Jan 26, 2005, 18:51 »

пробвай така

Примерен код

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 194.145.63.12:80

забележи липсва --to-destination което беше в по предниа пример а е само --to
при мен бачка перфектно това

'>
успех

the_real_maniac · « **Отговор #10 -:** Jan 26, 2005, 19:13 »

еквивалентни са

« **Отговор #11 -:** Jan 26, 2005, 19:38 »

Цитат (jmut @ Ян. 26 2005,16:48)

Гледах във форума разни теми по въпроса. Нещата са близки но не разбирам какво грешно правя че да не става. Нещо елементарно се опитвам да направя.
Когато някой се опита да се конектне към моята кутия http://ip.addres:8080 да го пренасоча към дир.бг примерно.

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to-destination 194.145.63.12

Има си един интерфейс, ползвам Slack 10 2.4.26
Пуснал съм ip_forward. Зареден ми е модула iptable_nat (autoclean) - btw така и не мога да разбера кое ми зарежда модула, щото не е компилиран въртре а си е отделен модул; има ли лесен начин да разбера кое го зарежда (от къде).

На въпросната настройка като пробва някой да се конектне му дава 110->Connection timeout, а не 111->Connection refused, тоест се опитва да прави нещо

'>
Нямам пуснато apaче или нещо такова.

Пич, защо не прочетеш малко повече ? Грешно интерпретираш логиката !
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 194.145.63.12:80
трябва да е :
iptables -t nat -A PREROUTING -p tcp -i eth0 -d ip.addresa.ti --dport 8080 -j DNAT --to-destination 194.145.63.12:80

RedIce · « **Отговор #12 -:** Jan 26, 2005, 19:48 »

Цитат (the_real_maniac @ Ян. 26 2005,20:13)

еквивалентни са

за съжеление не са, защото наремето като го нагласях това при мен, със --to-destinaton даваше грешка

'>

VladSun · « **Отговор #13 -:** Jan 26, 2005, 21:42 »

Цитат (RedIce @ Ян. 26 2005,19:48)

Цитат на: the_real_maniac,Ян. 26 2005,20:13

еквивалентни са

за съжеление не са, защото наремето като го нагласях това при мен, със --to-destinaton даваше грешка

'>съгласен съм !
с --to-destination нищо не става както трябва, трябвa --to.

Нищо не казваш за резултата от tcpdump и проба с съшествуващо ИП зад твоята машина .....

RedIce · « **Отговор #14 -:** Jan 26, 2005, 22:05 »

ами нямам проблемим аз си я ползвам тази комада

'>
и то за пренасочване на ssh, от rotera към linux в локалната мрежа, и си бачка перфектно
/като порт 22 на ротера си е за ssh на сами ротер, и пренасочвам от по горен порт/

аз съм на slackware
тесвал съм го и на gento
но това поринцип не би трябвало да има значение

'>

ЕДИТ:
аа пропуснах много важна подробност:
въпросната комада работи само от друго пс, ако се пробваш локално няма да стане, освен ако на мястото на eth0 не сложиш lo /не съм го тесвал но тееоритически е така/
защото това пренасочва заявките които ти идват по дадената ланка, а не локалните

'>

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	SNAT & DNAT Настройка на програми	nocture	6	6226	May 28, 2005, 13:18 от Soulstealer
	Dnat s iptables Хардуерни и софтуерни проблеми	gogo_hr	9	5710	Jun 13, 2006, 10:48 от Hapkoc
	Snat и dnat през vpn Хардуерни и софтуерни проблеми	muffty	16	8062	Jun 16, 2006, 14:02 от muffty
	Iptables dnat проблем ? Настройка на програми	ludmilbv	2	4348	Aug 25, 2008, 00:51 от triplek
	DNS и DNAT Настройка на програми	sstefanov	5	4843	Oct 26, 2010, 10:16 от sstefanov

Автор Тема: iptables DNAT -> port_forwarding (Прочетена 9841 пъти)