» Port maping

Подскажите пожалуйста как сделать:

Есть компьютер с адресом 192.168.5.5. Как сделать так, чтобы запросы на порт 1234 этого комтьютера, отправлялись на порт 4321 компьютера 192.168.5.10.

я бы поставил KWF и маппил бы,
а ещё вот так советуют http://support.microsoft.com/default.aspx?scid=kb;en-us;231162
но не пробовал

Прошу прощения, но я думал, что эта ветка про Unix продукты!

упс, попутал win и nix

Цитата:

Есть компьютер с адресом 192.168.5.5. Как сделать так, чтобы запросы на порт 1234 этого комтьютера, отправлялись на порт 4321 компьютера 192.168.5.10.

какая система? какой firewall?

в общем случае вам нужно читать про forward. в зависимости от ситуации еще и NAT.

HiDux если фря читаем доки по ipfw, если линукс - iptables
по фре
http://www.bsdportal.ru/
http://www.opennet.ru/docs/153.shtml
по линуксу
Iptables Tutorial 1.1.19
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
http://www.opennet.ru/docs/RUS/iptables/

Для keyhell
"какая система? какой firewall?"
Прошу прощения, но я уже привык, что на мои вопросы отвечаете восновном Вы. Система все таже - ASPLinux 11.2, iptables.

Для ipmanyak
Спасибо что откликнулись. Я уже набрал кучу документации, сейчас разбираюсь. Меня интересуют команы itpables для осущестления моей задачи. Просто хочется увидеть как это делают знающие люди.

с помощью SNAT и DNAT.
главное понять суть этих действий: первое подменяет в заголовке IP пакета сорц-адрес, а второе дестинейшен-адрес. таким образом пакеты соответсвующие определенным критериям подвергаются модификации.

Цитата:

http://www.opennet.ru/docs/RUS/iptables/

вот это в тему.

Сасибо большое за ссылки. Документации у меня теперь предостаточно.
А кто-нибудь может просто сказать, как выглядит команда для iptables для решения этой задачи?

с натом, одним интерфейсом и UDP так
$IPTABLES -t nat -A PREROUTING -p udp -d INETIP --dport INETPORT -j DNAT --to-destination LOCALIP:LOCALPORT
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

$IPTABLES -A FORWARD -i eth0 -d LOCALIP -p udp --dport LOCALPORT -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -s LOCALIP -p udp --sport LOCALPORT -j ACCEPT

Запутался окончательно!!!

Хочу разобраться на таком примере:
1. Компьютер 192.168.5.2 имеет установленный http прокси на порту 8080
2. Есть компьютер 192.168.5.3
3. Я хочу, чтобы запросы из локальной сети на адрес второгокомпьютера 192.168.5.3:3128 перенаправлялись на первый компьютер 192.168.5.2:8080

где ошибка в моих действиях:


IPTABLES -t nat -A PREROUTING -p tcp -d 192.168.5.3 --dport 3128 -j DNAT --to-destination 192.168.5.2:8080

HiDux
этим правилом (записанным на 192.168.5.3) ты перенаправляешь запрос на прокси. она получает его, обрабатывает, приходит ответ, который идёт не на 192.168.5.3, а на комп, отправивший запрос.
на 192.168.5.2 добавь правило

iptables -t nat -A POSTROUTING -p tcp --sport 8080 -j SNAT --to-source 192.168.5.3:3128

P.S. iptables - именно в нижнем регистре!!! $IPTABLES - это переменная, читай tutorial, разберись с примерами...

Пока ждал ответа (за который отдельное спасибо!!!) попрбовал следующее:
iptables -t nat -A PREROUTING -d 192.168.5.3 -p tcp -m tcp --dport 3129 -j DNAT --to-destination 192.168.5.2:9120
iptables -t nat -A POSTROUTING -d 192.168.5.2 -p tcp -m tcp --dport 9120 -j SNAT --to-source 192.168.5.3:3129

результат тотже

Потом поробовал

iptables -t nat -A PREROUTING -p tcp -d 192.168.5.3 --dport 3128 -j DNAT --to-destination 192.168.5.2:9120
iptables -t nat -A POSTROUTING -p tcp --sport 9120 -j SNAT --to-source 192.168.5.3:3128

Тоже не работает.

Разобрался наконец то. А ошибка была в том, то порт назночения в POSTROUTING не должен меняться!

Правильно будет так:

iptables -t nat -A PREROUTING -p tcp -d 192.168.5.3 --dport 3128 -j DNAT --to-destination 192.168.5.2:9120
iptables -t nat -A POSTROUTING -p tcp --dport 9120 -j SNAT --to-source 192.168.5.3

Получаеться вот что:
-- В первой строчке запросы от 192.168.5.хх:любой на 192.168.5.3:3128 преобразуються в запросы от 192.168.5.хх: любой на 192.168.5.2:9120
-- Во второй строчке запросы от 192.168.5.хх:любой на 192.168.5.2:9120 преобразуються в запросы от 192.168.5.3: любой на 192.168.5.2:9120


P.S. Я и не знал, что так мало людей разбираються в этом вопросе. В других форумах аналогичные ошибки!

Добавлено:
Возникла другая проблема.

Как вместо IP адреса назначения указать DNS имя?

HiDux
параметр --to-source допускает запись 192.168.5.3:[port-range]

Если сбросить все настройки iptables, то достаточно или нет следующих команд?


iptables -t nat -A PREROUTING -p tcp -d 192.168.183.58 --dport 3129 -j DNAT --to-destination 192.168.183.2:9120
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A FORWARD -i eth0 -d 192.168.183.2 -p tcp --dport 9120 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.183.2 -p tcp --sport 9120 -j ACCEPT

Или нужны еще какие правила?

давай сначала, ок?

iptables -t nat -A PREROUTING -p tcp --dst 192.168.183.58 --dport 3129 -j DNAT --to-destination 192.168.183.2:9120

все пакеты, идущие на 192.168.183.58:3129 перенаправляем на 192.168.183.2:9120
причём в нормальной ситуации для 192.168.183.2 должен быть прописан роутинг для всех, кто посылает пакеты на 192.168.183.58, через 192.168.183.58 (или 192.168.183.58 вообще стоит как шлюз по умолчанию, но это уже бред, так как хосты внутри одного сегмента)

route add default gw 192.168.183.58

значит для 192.168.183.58 пишем:

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.183.2 --dport 9120 -j SNAT \
--to-source 192.168.183.58

меняя исходный ип пакетов для получения ответа от 192.168.183.2

далее, ты бы по проектированию сети почитал, а? по идее машина с 192.168.183.58 должна быть шлюзом для выхода в инет...

тестировать пакеты:
traceroute
tracepath


Цитата:

Как вместо IP адреса назначения указать DNS имя?

учи bash и пиши скрипт, где сперва будет по имени резолвиться хост (команда nslookup), разбери скрипты в iptables-tutorial

Всем доброго времени суток !
Сначало попытаюсь ввести в ситуацию, дабы все поняли...
И так : в один прекрасный день сложилось так, что админ нашей локалки собрался в срочном порядке переезжать - конечно сервер на улице не оставлять же ! Из сети нашёлся лишь я один доброволец. Вот теперь страдаю в тяжёлых началах познания вселенной *nix систем.
Сервер висит на Linux Slackware без графической оболочки.
2 интерфейса сетевых eth0 - internet (мир)
eth1 - intranet (LAN)
Вопрос встал о мапинге портов - напирмер как лучше раскидать каждому клиенту сети по 1-му порту ? или есть другте варианты на такие случаи, как настройка Коннектабельности в Bit Torrent клиенте. Наверняка знаете - там есть такое как Connectable YES/NO. Или та же настройка нескольких фтп серверов на клиентских персоналках, которые(сервера) могли бы смотреть на мир из под 1-ного нашего айпи - я так понимаю всё делается по одному и тому же принципу... жду помощи.
lan ip 10.0.0.x
wlan ip 217.26.171.20 (например)
да, кстати, забыл упомянуть, что машина слабая - Celeron 233, и 192 ОЗУшки.

Вобщем так:
$IPT -t nat -A PREROUTING -i eth0 -p tcp -d XXX.XXX.XXX.XXX --dport 10021 -j DNAT --to-destination 10.0.0.21:10021 и вот так
Значит так - в битторрент-клиенте статус таки стал Connectable YES, НО появилась проблема - когда идет кач или раздача, странички не отрываются, или открываются но примерно в 100 раз медленне, чем на диалапе ( да локальный хттп-сервер так же медленно отвечает ! Ужас просто, чё делать не знаю; соображения: на opennet пишется, что данный финт незя использовать для фильтрации пакетов, т к подмена DNAT|SNAT происодит тока в первом(-ых) пакетах потока, а далее поток пакетных данных идёт сам без изменения в каждом пакете. Так вот может ли быть такое, что я во время передачи данных по п2п открываю страницу и просиходит то самое ?
От одного знакомого поступило соображение о том, что Слака выдаёт лимит на количество одновременных сессий - Кто что про это знает?

Извините, если некрасивым языком написано )

Уменьши кол-во одновременных соединений в торрент-клиенте до 50-80

athost
Понял, а есть ли иное решение - со стороны настройки рутера ?
и не снизет ли это скорость отдачиб загрузки ?

FreeLSD_md
Про роутер не скажу, не знаю. ИМХО капать надо в сторону NAT'а. А скорость... Все зависит от того, какой ширины у тебя канал, откуда качаешь(раздаешь), насколько надо забить канал и т.д. и т.п.

Мне на моих 1.5 мегах на два rtorrent'а (два трекера) хватает 40 соединений на каждый, чтобы канал забить полностью.

"Рутера" - в смысле линукс-сервера ...

В Линуксе полный новичек
Суть проблемы - Поставил altlinux-4.0.0-office_server, настроил squid , с локального компа прокси работает на ура пока не запустил Аутлук)
На сервере 1 интерфейс 192.168.100.243 с шлюзом 192.168.100.22(Модем настроеный роутером и подключеный в свитч)
Так вот что надо зделать с iptables что бы порты 25 и 110 ходили через линукс на компьютеры в локальной сети и назад ...