Есть 2 компьютера. На одном Eth0 - интернет, Eth1 - другой комп. На втором компе Eth0 идет в Eth1 первого компа.
Пытался решить задачу проброски порта 81 c Eth0 (все кто из инета ломится), на 80 порт Eth1. ссылка не работает. Но как проверить маршрут пакета после прихода на Eth0? Есть ли способ?
Решено: Как проверить работоспособность IPTABLES (Может логи, может еще чем)
Модератор: SLEDopit
Re: Решено: Как проверить работоспособность IPTABLES
cat /proc/sys/net/ipv4/ip_forward
iptables-save
netstat -rn
Вывод команд сюда выкладывай
iptables-save
netstat -rn
Вывод команд сюда выкладывай
Re: Решено: Как проверить работоспособность IPTABLES
Dzam писал(а): ↑30.03.2009 13:06Есть 2 компьютера. На одном Eth0 - интернет, Eth1 - другой комп. На втором компе Eth0 идет в Eth1 первого компа.
Пытался решить задачу проброски порта 81 c Eth0 (все кто из инета ломится), на 80 порт Eth1. ссылка не работает. Но как проверить маршрут пакета после прихода на Eth0? Есть ли способ?
http://www.opennet.ru/docs/RUS/iptables/#LOGTARGET
?
Re: Решено: Как проверить работоспособность IPTABLES
Код: Выделить всё
cat /proc/sys/net/ipv4/ip_forward
1
root@ns:~# iptables-save
# Generated by iptables-save v1.4.0 on Mon Mar 30 15:48:37 2009
*nat
:PREROUTING ACCEPT [498767:32366239]
:POSTROUTING ACCEPT [6849:1735370]
:OUTPUT ACCEPT [6726:1728058]
-A PREROUTING -i eth0
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 192.168.1.2/32 -p vmtp -j DNAT --to-destination 192.168.3.5
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 192.168.2.1/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
-A PREROUTING -i eth1 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Mar 30 15:48:37 2009
# Generated by iptables-save v1.4.0 on Mon Mar 30 15:48:37 2009
*mangle
:PREROUTING ACCEPT [5531115:2186051338]
:INPUT ACCEPT [998069:135101187]
:FORWARD ACCEPT [4435355:2043819885]
:OUTPUT ACCEPT [399719:583641424]
:POSTROUTING ACCEPT [4835983:2627527123]
COMMIT
# Completed on Mon Mar 30 15:48:37 2009
# Generated by iptables-save v1.4.0 on Mon Mar 30 15:48:37 2009
*filter
:INPUT ACCEPT [998069:135101187]
:FORWARD ACCEPT [4435355:2043819885]
:OUTPUT ACCEPT [399719:583641424]
COMMIT
# Completed on Mon Mar 30 15:48:37 2009
root@ns:~# netstat -rn
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth1
вот мой форвард
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
-A PREROUTING -i eth1 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
Re: Решено: Как проверить работоспособность IPTABLES
Так.
На интерфейсах eth0 и eth1 у вас сетки с "серыми" адресами.
Это домашняя(локальная) сеть?
В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).
Или вам все же надо чтоб до 81 порта смоглу достучаться из сетей 192.168.2.0/24 192.168.1.0/24 ?
И что это за странное правило в iptables
"-A PREROUTING -i eth0" ?
На интерфейсах eth0 и eth1 у вас сетки с "серыми" адресами.
Это домашняя(локальная) сеть?
В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).
Или вам все же надо чтоб до 81 порта смоглу достучаться из сетей 192.168.2.0/24 192.168.1.0/24 ?
И что это за странное правило в iptables
"-A PREROUTING -i eth0" ?
Re: Решено: Как проверить работоспособность IPTABLES
Eth0 это локалка № 1 там все юзеры сидять.
Eth2 это комп на котором стоит Веб-сервер ISS.
skor писал(а): ↑30.03.2009 15:54В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).
Интеррент у нас через ADSL модем, который подключен к Eth1.
Ваша подсказка наводит на мысли что на модеме не прописан форвард 81 порта....
У нас на Ubunte стоит веб сервер и к нему подходит инет. Его задача отдать инет локалке (что уже работает),обеспечивать работу сайта как в локалке так и во вне (тоже работает). Но вот еще проблема. Есть второй веб-сервер. к которому мы подключаемся посредством ссылки на 81 порт... А дальше линукс должен перекинуть запрос на Веб-сервер ISS Eth2 на порт 80. И это должно работать как из локалки, так и извне.
Re: Решено: Как проверить работоспособность IPTABLES
Dzam писал(а): ↑30.03.2009 17:21
Eth0 это локалка № 1 там все юзеры сидять.
Eth2 это комп на котором стоит Веб-сервер ISS.
skor писал(а): ↑30.03.2009 15:54В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).
Интеррент у нас через ADSL модем, который подключен к Eth1.
Ваша подсказка наводит на мысли что на модеме не прописан форвард 81 порта....
У нас на Ubunte стоит веб сервер и к нему подходит инет. Его задача отдать инет локалке (что уже работает),обеспечивать работу сайта как в локалке так и во вне (тоже работает). Но вот еще проблема. Есть второй веб-сервер. к которому мы подключаемся посредством ссылки на 81 порт... А дальше линукс должен перекинуть запрос на Веб-сервер ISS Eth2 на порт 80. И это должно работать как из локалки, так и извне.
Все работает. В настройках все было ок. Проьлема была в проброске 81 порта на модеме. Спасибо всем. Обожаю наш форум.
Вопрос решен. Тема закрыта.