Сорри, все действительно работает, тупизм был во мне))))
» Firewall *nix: iptables, ipfw, pf etc...
[more] [more] Отправили в спец. тему.
Доброго и Вам времени суток!)
Продублирую свое сообщение из другой темы:
Не могу понять, где не то.
Есть маленький шлюз, у которого на eth0 - 111.111.111.111 (внешний белый адрес) eth1 - 9х.320.123.0/24 (тоже внешние "белые" дреса но этот интерфейс смотрит в локальную сеть).
Дальше белые адреса с локального интерфейса берутся и делаются с /32 маской на внешнем интерфейсе:
auto eth0:2
iface eth0:2 inet static
address 9х.320.123.21
netmask 255.255.255.255
Я отделы делаю правилом так:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/24 -j SNAT --to-source 9х.320.123.21
Т.е. вроде как на внешнем ip сидит подсеть /24.
Есть web-сервер, он имеет адрес из подсети 9х.320.123.2/24 (локал.), и стоит за локальным интерфейсом:
есть у него правила
iptables -A FORWARD -d 9х.320.123.0/24 -j ACCEPT
iptables -A FORWARD -s 9х.320.123.0/24 -j ACCEPT
но эти назначенные на 9х.320.123.21 компьютеры не видят его.
Начинаю путаться уже. Может у кого была схожая ситуация, и сможете подсказать?
Или можно как-то иначе...
Спасибо за ответы.
И прикладываю схему, по ссылке ниже:
http://www.picshare.ru/view/5690279/ [/more] [/more]
Доброго и Вам времени суток!)
Продублирую свое сообщение из другой темы:
Не могу понять, где не то.
Есть маленький шлюз, у которого на eth0 - 111.111.111.111 (внешний белый адрес) eth1 - 9х.320.123.0/24 (тоже внешние "белые" дреса но этот интерфейс смотрит в локальную сеть).
Дальше белые адреса с локального интерфейса берутся и делаются с /32 маской на внешнем интерфейсе:
auto eth0:2
iface eth0:2 inet static
address 9х.320.123.21
netmask 255.255.255.255
Я отделы делаю правилом так:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/24 -j SNAT --to-source 9х.320.123.21
Т.е. вроде как на внешнем ip сидит подсеть /24.
Есть web-сервер, он имеет адрес из подсети 9х.320.123.2/24 (локал.), и стоит за локальным интерфейсом:
есть у него правила
iptables -A FORWARD -d 9х.320.123.0/24 -j ACCEPT
iptables -A FORWARD -s 9х.320.123.0/24 -j ACCEPT
но эти назначенные на 9х.320.123.21 компьютеры не видят его.
Начинаю путаться уже. Может у кого была схожая ситуация, и сможете подсказать?
Или можно как-то иначе...
Спасибо за ответы.
И прикладываю схему, по ссылке ниже:
http://www.picshare.ru/view/5690279/ [/more] [/more]
REVVV
Ух, ну Вы там и нагородили...
Скажите, а то что "НЕ ОК", физически они как соединены? Через Шлюз, коммутатор или ещё как?
Ух, ну Вы там и нагородили...
Скажите, а то что "НЕ ОК", физически они как соединены? Через Шлюз, коммутатор или ещё как?
Спасибо за ответ.)
Физически данный веб-сервер воткнут в Л3 штуку, и интерфейс локалки (Eth1) шлюза тоже туда же в нее заходит. Одна опечатка, что интерфейс Eth0 выходит на свитч уровнем выше в иерархии, и там берет себе интернет.
И то, что "НЕ ОК" - оно через шлюз соотв. входит в Л3 железку по тому же Eth1.
Если и так не понятно пояснил, напишите, пожалуйста...случай тяжелый (для меня), я лучше перефразирую.
Физически данный веб-сервер воткнут в Л3 штуку, и интерфейс локалки (Eth1) шлюза тоже туда же в нее заходит. Одна опечатка, что интерфейс Eth0 выходит на свитч уровнем выше в иерархии, и там берет себе интернет.
И то, что "НЕ ОК" - оно через шлюз соотв. входит в Л3 железку по тому же Eth1.
Если и так не понятно пояснил, напишите, пожалуйста...случай тяжелый (для меня), я лучше перефразирую.
REVVV
Ну вроде как я осознал суть происходящего.
На шлюзе:
# ip r a 9х.320.123.2 dev eth0
Вроде так, если я всё правильно понял.
Ну вроде как я осознал суть происходящего.
На шлюзе:
# ip r a 9х.320.123.2 dev eth0
Вроде так, если я всё правильно понял.
Тра-та-та...это я получается присвою маршрут к интерфесу? Все верно я понял?
ip route add ... ?
Добавлено:
Добавил маршрут, но не вышло(
Может его просто попробую подключить в общую сеть реальных адресов, чт она картинке как 92.xxx.xxx.xx, и выдать ему тот же адрес?)
ip route add ... ?
Добавлено:
Добавил маршрут, но не вышло(
Может его просто попробую подключить в общую сеть реальных адресов, чт она картинке как 92.xxx.xxx.xx, и выдать ему тот же адрес?)
что-то изменилось в centos 6.x со времен 5.x?
ранее меня устраивало правило
Код: iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ранее меня устраивало правило
Код: iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Всем доброго здоровья уважаемые форумчане!
Меня уже давно беспокоит одна проблема, я не могу открыть порты у себя на компе, мой комп подключен таким образом:
телефонная линия->модем(в режиме роутера)->маршрутизатор->сетевой кабель->мой комп.
Что я только не делал, ничего не помогает. Модель модема: Zyxel P660RT2 EE. Модель маршрутизатора: TP Link TL-WR741ND.Ip адрес моего компа 192.168.0.100.
Вот скрины
http://s14.radikal.ru/i187/1502/79/bdc747078835.jpg
http://i008.radikal.ru/1502/f4/a14e9efb66af.jpg
Вся надежда на вас уважаемые форумчане =((
Меня уже давно беспокоит одна проблема, я не могу открыть порты у себя на компе, мой комп подключен таким образом:
телефонная линия->модем(в режиме роутера)->маршрутизатор->сетевой кабель->мой комп.
Что я только не делал, ничего не помогает. Модель модема: Zyxel P660RT2 EE. Модель маршрутизатора: TP Link TL-WR741ND.Ip адрес моего компа 192.168.0.100.
Вот скрины
http://s14.radikal.ru/i187/1502/79/bdc747078835.jpg
http://i008.radikal.ru/1502/f4/a14e9efb66af.jpg
Вся надежда на вас уважаемые форумчане =((
Rabelard
Цитата:
перевести в режим бриджа
Цитата:
оставить роутером и возложить на него роль по поднятию соединения,
далее использовать инструкцию к TP Link TL-WR741ND по пробросу портов
Цитата:
модем(в режиме роутера)
перевести в режим бриджа
Цитата:
Модель маршрутизатора: TP Link TL-WR741ND
оставить роутером и возложить на него роль по поднятию соединения,
далее использовать инструкцию к TP Link TL-WR741ND по пробросу портов
Rabelard
Ваша ошибка в том, что у вас Вася пытается отдать долг Серёже. А помните что я вам до этого сказал? Главное последовательность. Вы этого не услышали.
У "тополя" на wan-порте какой адрес? Вот на него в "зайце" и надо пробрасывать порты.
Ваша ошибка в том, что у вас Вася пытается отдать долг Серёже. А помните что я вам до этого сказал? Главное последовательность. Вы этого не услышали.
У "тополя" на wan-порте какой адрес? Вот на него в "зайце" и надо пробрасывать порты.
karavan
Модем переводить в бридж пробовал уже, но роутер почему-то не мог с ним работать, видимо делал что-то не то.
urodliv извините конечно..но что такое "тополя" и "зайцы" ?
А свой пост, просто скопировал суда, как в более подобающую тему.
Вообще я конечно хотел бы просто научится открывать порты при моей текущей конфигурации.
Вот скрин с тополя wan вкладки
http://s017.radikal.ru/i410/1502/b1/97e190f60751.jpg
Менял там я всё, и у тополя менял и у зайца менял - не помогает.
А вообще должно показываться на сайтах по проверке порта что он открыт, если открывать его таким образом?
Модем переводить в бридж пробовал уже, но роутер почему-то не мог с ним работать, видимо делал что-то не то.
urodliv извините конечно..но что такое "тополя" и "зайцы" ?
А свой пост, просто скопировал суда, как в более подобающую тему.
Вообще я конечно хотел бы просто научится открывать порты при моей текущей конфигурации.
Вот скрин с тополя wan вкладки
http://s017.radikal.ru/i410/1502/b1/97e190f60751.jpg
Менял там я всё, и у тополя менял и у зайца менял - не помогает.
А вообще должно показываться на сайтах по проверке порта что он открыт, если открывать его таким образом?
Rabelard
"Тополь" - это TP-Link, а "заяц" - zyxel.
Добавлено:
Ну вот, в самой первой вашей картинке 192.168.0.100 поменяйте на 192.168.1.33. Но учтите, что это лишь часть решения.
"Тополь" - это TP-Link, а "заяц" - zyxel.
Добавлено:
Ну вот, в самой первой вашей картинке 192.168.0.100 поменяйте на 192.168.1.33. Но учтите, что это лишь часть решения.
Настроил всё как говорил karavan, всё работает =) всем огромное спасибо за помощь!
Доброго дня. Никак не могу разобраться как настроить файрволл для того, чтобы у меня в локальной сети, для клиентов с gentoo, работал rsync.
Cейчас при попытке запустить в на клиентах emerge --sync, в ответ получаю:
timed out
rsync error: received SIGINT, SIGTERM, or SIGHUP (code 20) at rsync.c(632) [Receiver=3.1.1]
>>> Retrying...
!!! Exhausted addresses for rsync2.ru.gentoo.org
на сервере с Windows 2003 стоят squid и ipfw. Пока только знакомлюсь с инфраструктурой организации и в частности со сквидой и ipfw, поэтому не очень хорошо представляю как это сделать.
Пытался по шаблонам найденным в интернете прописать правило в ipfw.conf
add 2000 allow tcp from rsync2.ru.gentoo.org to me 873 keep-state
но не заработало. Подскажите, плиз, как надо?
Cейчас при попытке запустить в на клиентах emerge --sync, в ответ получаю:
timed out
rsync error: received SIGINT, SIGTERM, or SIGHUP (code 20) at rsync.c(632) [Receiver=3.1.1]
>>> Retrying...
!!! Exhausted addresses for rsync2.ru.gentoo.org
на сервере с Windows 2003 стоят squid и ipfw. Пока только знакомлюсь с инфраструктурой организации и в частности со сквидой и ipfw, поэтому не очень хорошо представляю как это сделать.
Пытался по шаблонам найденным в интернете прописать правило в ipfw.conf
add 2000 allow tcp from rsync2.ru.gentoo.org to me 873 keep-state
но не заработало. Подскажите, плиз, как надо?
OsennijLis
Правило Вы составили верно, как я вижу. Покажите вообще все правила.
Они работаю по порядку!
Правило Вы составили верно, как я вижу. Покажите вообще все правила.
Они работаю по порядку!
OsennijLis А шлюз в инет у вас кто? Этот виндовый сервер?
Да, он же и есть шлюз.
Вот небольшая вырезка из ipfw.conf
[more]#ftp
add 2500 allow tcp from me to 85.235.173.170 keep-state
add 2501 allow tcp from 85.235.173.170 to me keep-state
add 2502 allow tcp from me to ftp.kraftway.ru keep-state
add 2503 allow tcp from ftp.kraftway.ru to me keep-state
add 2504 allow tcp from me to ftp.krista.ru keep-state
add 2505 allow tcp from ftp.krista.ru to me keep-state
add 2506 allow tcp from me to ftp.supermicro.nl keep-state
add 2507 allow tcp from ftp.supermicro.nl to me keep-state
#rsync
add 2508 allow tcp from rsync2.ru.gentoo.org to me 873 keep-state[/more]
Вот небольшая вырезка из ipfw.conf
[more]#ftp
add 2500 allow tcp from me to 85.235.173.170 keep-state
add 2501 allow tcp from 85.235.173.170 to me keep-state
add 2502 allow tcp from me to ftp.kraftway.ru keep-state
add 2503 allow tcp from ftp.kraftway.ru to me keep-state
add 2504 allow tcp from me to ftp.krista.ru keep-state
add 2505 allow tcp from ftp.krista.ru to me keep-state
add 2506 allow tcp from me to ftp.supermicro.nl keep-state
add 2507 allow tcp from ftp.supermicro.nl to me keep-state
#rsync
add 2508 allow tcp from rsync2.ru.gentoo.org to me 873 keep-state[/more]
OsennijLis
В том-то и дело, что Ваша вырезка нам ни чем не поможет. Ну показали Вы ещё правила разрешаю, что толку. Либо всё, либо ни чего.
В том-то и дело, что Ваша вырезка нам ни чем не поможет. Ну показали Вы ещё правила разрешаю, что толку. Либо всё, либо ни чего.
Добрый день, коллеги!
долго мучаюсь с вопросом пробросов портов через squid. В инете много тем и мануалов, но по своему вопросу ни чего не нашел.
Ситуация следующая: есть сеть 192.168.0.0/16, есть сервер с установленным Debian GNU/Linux 7.8 (wheezy), SAMS 2.0.0-rc2, SQUID3 3.1.20-2.2+deb7u2, SAMBA 2:3.6.6-6+deb7u5. авторизация по NTLM все работает. понадобилось пробросить порт, и вот тут случился коллапс.
задача пробросить порты 8080 на 195.2.82.50.
Пробовал максарадингом - не получается. сетевой интерфейс один, eth0 192.168.0.195 255.255.255.0 192.168.0.1 в инет выходит через маршрутизатор 192.168.0.254 В инете много мануалов по настройке iptables с двумя сетевыми интерфейсами, а вот про один ни сказано ни слово. Выручайте коллеги. Буду благодарен за любую помощь.
Код: iptables-save
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -m multiport --dports 8080 -s 192.168.0.14-j ACCEPT
iptables -A FORWARD -s 192.168.0.14 -d 195.2.82.50 -p tcp --dport 8080 -j ACCEPT
долго мучаюсь с вопросом пробросов портов через squid. В инете много тем и мануалов, но по своему вопросу ни чего не нашел.
Ситуация следующая: есть сеть 192.168.0.0/16, есть сервер с установленным Debian GNU/Linux 7.8 (wheezy), SAMS 2.0.0-rc2, SQUID3 3.1.20-2.2+deb7u2, SAMBA 2:3.6.6-6+deb7u5. авторизация по NTLM все работает. понадобилось пробросить порт, и вот тут случился коллапс.
задача пробросить порты 8080 на 195.2.82.50.
Пробовал максарадингом - не получается. сетевой интерфейс один, eth0 192.168.0.195 255.255.255.0 192.168.0.1 в инет выходит через маршрутизатор 192.168.0.254 В инете много мануалов по настройке iptables с двумя сетевыми интерфейсами, а вот про один ни сказано ни слово. Выручайте коллеги. Буду благодарен за любую помощь.
Код: iptables-save
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -m multiport --dports 8080 -s 192.168.0.14-j ACCEPT
iptables -A FORWARD -s 192.168.0.14 -d 195.2.82.50 -p tcp --dport 8080 -j ACCEPT
Renua
А позвольте узнать какой вообще NAT вы пытаетесь тут описать когда у вас одна подсеть? Что во что должно транслироваться?
Как в этой схеме задействован squid?
А позвольте узнать какой вообще NAT вы пытаетесь тут описать когда у вас одна подсеть? Что во что должно транслироваться?
Как в этой схеме задействован squid?
Alukardd
Мне необходимо с адреса 192.168.0.x по порту 9000 передавать данные в инет на 195.2.82.50:9000. сеть имеет сл. вид
<PC>--<SWITCH>--<PROXY>--<ROUTE>--<ШБ(КОНТИНЕНТ)>--<Inet>--<195.2.82.50:9000>
на роутере и ШБ порт открыт, не пропускает только прокся.
мониторинг сетевых подключений выдает что 9000 порт ESTABLISHED, но это появилось после того как было прописано на проксе
Код: -A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 9000 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 9000
-A POSTROUTING -o eth0 -j MASQUERADE
Мне необходимо с адреса 192.168.0.x по порту 9000 передавать данные в инет на 195.2.82.50:9000. сеть имеет сл. вид
<PC>--<SWITCH>--<PROXY>--<ROUTE>--<ШБ(КОНТИНЕНТ)>--<Inet>--<195.2.82.50:9000>
на роутере и ШБ порт открыт, не пропускает только прокся.
мониторинг сетевых подключений выдает что 9000 порт ESTABLISHED, но это появилось после того как было прописано на проксе
Код: -A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 9000 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 9000
-A POSTROUTING -o eth0 -j MASQUERADE
Renua
Цитата:
Цитата:
Вы просто хотите перенаправить соединение или именно воспользовать proxy-сервером? Это две весьма большие разницы.
Без squid'а всё выливается в 2 команды:
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 195.2.82.50:8080
iptables -t nat -A POSTROUTING -d 195.2.82.50 -p tcp -m tcp --dport 8080 -o eth0 -j SNAT --to-source 192.168.0.195
Цитата:
-A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 9000это лишнее
Цитата:
-A POSTROUTING -o eth0 -j MASQUERADEэто тоже непонятно какую роль должно выполнять.
Вы просто хотите перенаправить соединение или именно воспользовать proxy-сервером? Это две весьма большие разницы.
Без squid'а всё выливается в 2 команды:
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 195.2.82.50:8080
iptables -t nat -A POSTROUTING -d 195.2.82.50 -p tcp -m tcp --dport 8080 -o eth0 -j SNAT --to-source 192.168.0.195
AlukarddБольшое спасибо, заработало.
если не сложно, поясните пожалуйста принцип.
например для открытия других портов, при условии что этот порт надо будет просто открыть в инет
если не сложно, поясните пожалуйста принцип.
например для открытия других портов, при условии что этот порт надо будет просто открыть в инет
Renua
какой принцип? Есть понятие маршрутизация и NAT, ну и всё что нужно для осознания этих понятий. На этом вся теория заканчивается.
Дальше есть знание синтаксиса iptables, в шапке есть ссылки достаточные для освоения.
Цитата:
какой принцип? Есть понятие маршрутизация и NAT, ну и всё что нужно для осознания этих понятий. На этом вся теория заканчивается.
Дальше есть знание синтаксиса iptables, в шапке есть ссылки достаточные для освоения.
Цитата:
например для открытия других портов, при условии что этот порт надо будет просто открыть в инетмоя твоя не понимать...
Renua
Цитата:
то никакого результата это не даст.
А если имеется в виду проброс определенного порта (ака виртуальный сервер)
снаружи во внутрь, то это достигается с помощью второго примера, написанного Alukardd
Ну и опять же, присоединяюсь к его мнению:
Цитата:
при условии что этот порт надо будет просто открыть в инет"Просто открыть" делается с помощью INPUT ACCEPT. Но если этот порт никто не слушает,
то никакого результата это не даст.
А если имеется в виду проброс определенного порта (ака виртуальный сервер)
снаружи во внутрь, то это достигается с помощью второго примера, написанного Alukardd
Ну и опять же, присоединяюсь к его мнению:
Приветствую. Поселилась в голове идея, и никак её оттуда не выгнать: хочу видеть красивую статистику работы iptables. Что-то подобное есть в zentyal (всякие графики и наглядный список текущих правил), но zentyal мне не нужен. Есть похожее в webmin, но тоже не то. В общем, есть ли вообще веб-морда для iptables или гуевый клиент под винду? Поиск юзал, везде был, кругом печаль... Помогите)
angelofdarkness8
Ну вообще-то что бы рисовать графики нужно постоянно снимать какую-то статистику, значит нужны соответствующие пакеты мониторинга.
Текущее состояние и правила вполне наглядно отражаются в выводах iptables -vnL.
Ну вообще-то что бы рисовать графики нужно постоянно снимать какую-то статистику, значит нужны соответствующие пакеты мониторинга.
Текущее состояние и правила вполне наглядно отражаются в выводах iptables -vnL.
Alukardd
Мониторинг настроить не проблема, проблема в том что он кругом консольный. С выводом та же беда. Хочется наглядности. Я могу каждый пакет записать в логи, но вот читать их потом-глаза болят). Парсер бы, с постройкой графиков...
Мониторинг настроить не проблема, проблема в том что он кругом консольный. С выводом та же беда. Хочется наглядности. Я могу каждый пакет записать в логи, но вот читать их потом-глаза болят). Парсер бы, с постройкой графиков...
angelofdarkness8
iptables имеет счётчики байтов и пакетов на каждое правило. Используйте дальше что угодно — nagios. zabbix и т.д.
iptables имеет счётчики байтов и пакетов на каждое правило. Используйте дальше что угодно — nagios. zabbix и т.д.
Добрый день, коллеги.
если не затруднит в помощи, поясните дураку...
Код: iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 80 -j DNAT --to-destination 46.28.17.145:80
iptables -t nat -A POSTROUTING -d 46.28.17.145 -p tcp -m tcp --dport 80 -o eth0 -j SNAT --to-source 192.168.100.177
если не затруднит в помощи, поясните дураку...
Код: iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 80 -j DNAT --to-destination 46.28.17.145:80
iptables -t nat -A POSTROUTING -d 46.28.17.145 -p tcp -m tcp --dport 80 -o eth0 -j SNAT --to-source 192.168.100.177
Страницы: 123456789101112131415
Предыдущая тема: Как подключиться по RDP к 2000 серверу - к локальной сессии?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.