Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RFpro.ru: Установка и настройка Unix/Linux/FreeBSD


Хостинг портала RFpro.ru:
Московский хостер
Профессиональный платный хостинг на базе Windows 2008

РАССЫЛКИ ПОРТАЛА RFPRO.RU

Чемпионы рейтинга экспертов в этой рассылке

vladisslav
Статус: 5-й класс
Рейтинг: 1071
∙ повысить рейтинг »
Волков Алексей aka Lupo
Статус: 5-й класс
Рейтинг: 330
∙ повысить рейтинг »
Палян Александр Михайлович
Статус: 6-й класс
Рейтинг: 324
∙ повысить рейтинг »

/ КОМПЬЮТЕРЫ И ПО / Установка и настройка ОС / Unix/Linux/FreeBSD

Номер выпуска:1288
Дата выхода:28.12.2009, 00:30
Администратор рассылки:Калашников О.А., Руководитель
Подписчиков / экспертов:807 / 181
Вопросов / ответов:1 / 1
IRC-канал по теме:#nix

Вопрос № 175551: Добрый день ув. эксперты. У меня уст. Suse 11.0 (2.6.25.5-1.1-pae), на нем крутятся апач, самба, фтп. На сьюзи 2 интерфейса внешний 77.77.77.77 и внутренний 192.168.0.100 - смотрит во внутр. сетку офиса Как мне пробросить (НАТить) к...



Вопрос № 175551:

Добрый день ув. эксперты.

У меня уст. Suse 11.0 (2.6.25.5-1.1-pae), на нем крутятся апач, самба, фтп.

На сьюзи 2 интерфейса внешний 77.77.77.77 и внутренний 192.168.0.100 - смотрит во внутр. сетку офиса
Как мне пробросить (НАТить) коннект с внешней сети на внутренний сервер в офисе, да так чтобы я мог уст. привязку "внешний айпи - внутркнний айпи"

2 Примера:
машина с аипи 88.88.88.88 коннектится на 77.77.77.77:80, Сузи его натит в 192.168.0.101 и направляет на внутрениий сервер 192.168.0.1:80
машина с аипи 99.99.99.99 коннектится на 77.77.77.77:80, Сузи его натит в 192.168.0.102 и направляет на внутрениий сервер 192.168.0.1:80
.. и тд.

важно чтобы внешний коннект натился именно во внутренний конкретный айпи либо хотя бы в айпи из пула внутренних айпи (192.168.0.0/24) а не только в один айпи адрес самого сузи (192.168.0.100)
Ну и конечно если есть возм - чтоб было можно менять порты, тоесть коннектится к примеру на 80й а напрвляет на 8080.

На данный момент я пока настраивал fw через yast - пробовал включить галку NAT и добавил правило но не получилось.
И соотв дальше - я бы хотел уйти от ГАЙ версии бранмаура и админить через консоль, опыт имею такой только с WIPFW - очень просто наглядно и быстро - как в съюзи это сделать? Подск пж.
может есть для сузи несложный fw типа ipfw или ufw.

Надеюсь понятно более менее объяснил, Заранее Благодарен Всем!

Отправлен: 23.12.2009, 00:01
Вопрос задал: skatet, Посетитель
Всего ответов: 1
Страница вопроса »


Отвечает Шпак, Студент :
Здравствуйте, skatet.
Напишу общие правила проброса портов.
Если у вас на фаерволе закрыты все лишние соединения, то нужны такие правила:

где eth0 это внешний интерфейс.
Разрешаем пакетам ходить с внешнего адреса на внутренний адрес сети.
iptables -A FORWARD -i eth0 -s 88.88.88.88 -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT

Прокидываем порт

iptables -t nat -A PREROUTING -s 88.88.88.88 -p tcp -d 77.77.77.77 --dport 80 -j DNAT --to-destination 192.168.0.1:80

Разрешаем пакетикам ходить с внутреннего адреса обратно на адрес инициатор.

iptables -A FORWARD -s 192.168.0.1 -d 88.88.88.88 -p tcp -j ACCEPT

Если у вас ни чего не запрещено, то хватит и вот этого:

iptables -t nat -A PREROUTING -s 88.88.88.88 -p tcp -d 77.77.77.77 --dport 80 -j DNAT --to-destination 192.168.0.1:80

Только совершенно не понятно, что это за адреса такие 192.168.0.101, а потом направляет на внутренний 192.168.0.1:80, если б они из разных подсетей были, тогда понятен смысл.
Но напишу правила вам именно по вашей схеме.
iptables -A FORWARD -i eth0 -s 88.88.88.88 -d 192.168.0.101 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 88.88.88.88 -p tcp -d 77.77.77.77 --dport 80 -j DNAT --to-destination 192.168.0.101:80
iptables -A FORWARD -s 192.168.0.101 -d 88.88.88.88 -p tcp -j ACCEPT

iptables -A FORWARD -i eth0 -s 99.99.99.99 -d 192.168.0.102 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 99.99.99.99 -p tcp -d 77.77.77.77 --dport 80 -j DNAT --to-destination 192.168.0.102:80
iptables -A FORWARD -s 192.168.0.102 -d 99.99.99.99 -p tcp -j ACCEPT

А на адресах 192.168.0.* делаем переадресацию на адрес 192.168.0.1:80

Только еще раз повторяю, пересмотрите свою топологию сети, за 14 лет администрирования такого не встречал ни разу.

Ответ отправил: Шпак, Студент
Ответ отправлен: 23.12.2009, 08:05

Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 258058 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!


    Оценить выпуск »
    Нам очень важно Ваше мнение об этом выпуске рассылки!

    Задать вопрос экспертам этой рассылки »

    Скажите "спасибо" эксперту, который помог Вам!

    Отправьте СМС-сообщение с тестом #thank НОМЕР_ОТВЕТА
    на короткий номер 1151 (Россия)

    Номер ответа и конкретный текст СМС указан внизу каждого ответа.

    Полный список номеров »

    * Стоимость одного СМС-сообщения от 7.15 руб. и зависит от оператора сотовой связи. (полный список тарифов)
    ** При ошибочном вводе номера ответа или текста #thank услуга считается оказанной, денежные средства не возвращаются.
    *** Сумма выплаты эксперту-автору ответа расчитывается из суммы перечислений на портал от биллинговой компании.


    © 2001-2009, Портал RFpro.ru, Россия
    Авторское право: ООО "Мастер-Эксперт Про"
    Автор: Калашников О.А. | Программирование: Гладенюк А.Г.
    Хостинг: Компания "Московский хостер"
    Версия системы: 2009.6.12 от 30.11.2009

    В избранное