Не доступен сайт с локали ( Ubuntu - server)

[SMEL]

Организована сеть между двумя компами

комп№1 Пользовательский 192.168.1.100 eth0
комп№2 Сервер 192.168.1.1 (10.224.***.***); eth0 (eth1)

сервер подключен к сети имеет два vpn подключение ppp0 (локальная сеть провайдера) and ppp1 (внешний анлим ), между подключениями настроен роутинг

на сервере настроен NAT
стоит LAMP

ПОБЛЕМА:

c компа№1 открывается сайт на сервера по урлу http://192.168.1.1,
но не открывается по адрессу http://dp.***.**

нужно чтоб открывались в обоих случаях

где копать?

p.s
пинг and tracert с компа №1

#tracert dp.505.ru

Трассировка маршрута к 65625.dyn.ufanet.ru [77.79.171.90]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.

#ping ya.ru

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

Ответ от 213.180.204.8: число байт=32 время=37мс TTL=54
Ответ от 213.180.204.8: число байт=32 время=37мс TTL=54
Ответ от 213.180.204.8: число байт=32 время=37мс TTL=54

Статистика Ping для 213.180.204.8:
Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 37мсек, Максимальное = 37 мсек, Среднее = 37 мсек


Обратный трацерт

1 Russian Federation Moscow * 0.0 ms
2 Russian Federation Moscow msk-bgw1-ge1-0-0-0.rt-comm.ru 217.106.0.14 2.8 ms
3 Russian Federation Moscow msk-bgw1-ge1-0-0-0.rt-comm.ru 217.106.0.14 2.5 ms
4 Russian Federation Moscow 195.161.4.138 195.161.4.138 12.8 ms
5 Russian Federation Moscow so-0-0-0.ufa-rgr1.pv.ip.rostelecom.ru 87.226.138.174 50.9 ms
6 Russian Federation Moscow 94.25.3.66 94.25.3.66 41.3 ms
7 Russian Federation Moscow cmir4-b0.ufanet.ru 92.50.190.33 54.0 ms
8 Russian Federation Moscow ck165-1-p301.ufanet.ru 92.50.190.26 41.9 ms
9 Russian Federation Moscow drs15.ufanet.ru 92.50.189.229 50.3 ms
10 Russian Federation Moscow 77.79.171.90.dynamic.ufanet.ru 77.79.171.90 42.0 ms

[*Sasha*]

http://www.opennet.ru/docs/RUS/iptables/
Таблица 6-16. Действие DNAT

[SMEL]

хмммм теперь проблема с ключом, грит нет его

Bad argument ` --to-destination'
Try `iptables -h' or 'iptables --help' for more information.

[SMEL]

iptables -t nat -A PREROUTING --dst 77.79.171.90 -p tcp --dport 80 -j DNAT \ --to-destination 192.168.1.1
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.1 --dport 80 -j SNAT \ --to-source 192.168.1.100
iptables -t nat -A OUTPUT --dst 77.79.171.90 -p tcp --dport 80 -j DNAT \ --to-destination 192.168.1.1

примерно так ведь?? просто что то --to-destination ключа нет (((

стоит iptables v1.4.0

[*Sasha*]

слэш убери

[SMEL]

большое спасибо тёска *Sasha*

за оперативное решение проблемы

[SMEL]

хм..... что то я отвлёкся и с последнего поста у меня не было времени заниматьсо сервером

и заметил странность что после того как вписал правила пропал доступ с внешки на мой адресс http://dp.**.**

а с компа № 1 доступ нормальный, не могу понять в чом причина ))

[SMEL]

Вот мой скрипт правил iptables может косяк есть?

Код: Выделить всё

#!/bin/bash
#Autor: Mal`cev Aleksander
#e-mail: skyinfo@ya.ru


case "$1" in
stop)
echo "Shutting down firewall..."

iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT

echo "...done"
;;
status)
echo $"Table:filter"
iptables --list
echo $"Table:nat"
iptables -t nat --list
;;
restart|reload)
$0 stop
$0 start
;;

#############################################################################

start)
echo "Starting Firewall..."
echo ""

iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

#Изменение параментров SYSCTL

echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 0 > /proc/sys/net/ipv4/tcp_timestamps

#############  Защита от злоумышленников #####################################
#####TARPIT#############
iptables -A INPUT -p tcp -m tcp -m --mport --dports 22,25,53,110,119,123,135,139,143,443,1025 -j TARPIT
#######################

############ Черезмерное большое кол-во icmp запросов ########################

iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
        iptables -t filter -A FORWARD -p icmp -j DROP

########### Защита от скрытого сканирования ##################################

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE

##############################################################################

iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP


##############################################################################



#
iptables -A INPUT -i lo -j ACCEPT

#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! ppp1 -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Allow outgoing connections from the LAN side.

# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp1 -j ACCEPT


# Masquerade.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp1 -j MASQUERADE


# Don't forward from the outside to the inside.
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT
iptables -A FORWARD -i ppp1 -o ppp1 -j REJECT

iptables -A FORWARD -i eth1 -o ppp0 -j REJECT
iptables -A FORWARD -i eth1 -o ppp1 -j REJECT


# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Открываем порты
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 411 -m state --state NEW -j ACCEPT

######  DNAT  and SNAT   ########

iptables -t nat -A PREROUTING --dst 77.79.179.151 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.1 --dport 80 -j SNAT --to-source 192.168.1.100
iptables -t nat -A OUTPUT --dst 77.79.179.151 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1
#iptables -t nat -A PREROUTING -p tcp -d 77.79.171.90 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.120


#OUTPUT

iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP


################## ЗАКРЫТИЕ ПОРТОВ #################
#iptables -A INPUT -p tcp -m tcp --dport 21 -j DROP#
#iptables -A INPUT -p tcp -m tcp --dport 21 -j DROP#
#iptables -A INPUT -p tcp -m tcp --dport 21 -j DROP#
#iptables -A INPUT -p tcp -m tcp --dport 21 -j DROP#
####################################################


echo "...done"

echo "--> IPTABLES firewall loaded/activated <--"

################################################################################
#########

;;
*)

echo "Usage:firewall (start|stop|restart|status) EXTIF INTIF"
exit 1
esac

exit 0

[*Sasha*]

А как вы на него пытаетесь зайти с внешки, у вс жк перенаправление с 77.79.179.151 на 192.168.1.1

[SMEL]

так а как чтоб и с локали и с внешки норм заходило??

если перенаправление уберу с локали сайт редактировать не смогу

такчтож делать то, может правила по другому переправить как то? если не трудно поправте что не так

[*Sasha*]

Я так понимаю сайт на 192.168.1.1, нужно что-бы с локалки и с внешки на него можно было заходить или куда-то ещё?

[SMEL]

Я так понимаю сайт на 192.168.1.1, нужно что-бы с локалки и с внешки на него можно было заходить или куда-то ещё?

да на 192.168.1.1 стоит веб сервер, надо чтоб с 192.168.1.100 заходил по доменному имени на которое зарегистрирован сервер, а также с внешних адрессов (адрессов локальной сети провайдера и внешнего канала) заходило на этот веб сервер.

[Frank]

а какой DNS сервер указан в настройках сети машины 192.168.1.100?
Может, достаточно будет банального прописывания имени на этой машине в /etc/hosts?

[SMEL]

а какой DNS сервер указан в настройках сети машины 192.168.1.100?

Естественно на машине 192.168.1.100 указываю DNS настройки провайдера (81.30.199.5 И 10.8.3.1) так как там есть инет ))
иначеба инета мне на нём не видать

Может, достаточно будет банального прописывания имени на этой машине в /etc/hosts?

нет как рас я думал что хватит ))) но на деле не хватает и в придётсо переписывать тонну скриптов )) которые привязаны http заголовкам,
что не есть хорошо! на сервак прицеплено уже несколько доменов )) что осложняяет работу с сервером 192.168.1.1 на 192.168.1.100,
гемороя полные штаны от этого ....могу работать с серваком на работе и где то еще! (((

зы. что то умные мысли не лезут в голову, а с NAT-ом окончательно запутался