* [Comm] iptables и port masquerade
@ 2005-11-29 15:49 Olvin
2005-11-29 17:56 ` Dmitry Marochko
0 siblings, 1 reply; 10+ messages in thread
From: Olvin @ 2005-11-29 15:49 UTC (permalink / raw)
To: ALT Linux Community
Хочу сделать, чтобы при обращении к любому хосту сети на tcp-порт 2525
на самом деле происходило обращение на порт 25. Т.е. адрес получателя
менять нельзя. Не получается. Посоветуйте что-нибудь. Вот, что я пробовал:
[olvin@enigma olvin]$ sudo iptables -t nat -A POSTROUTING -p tcp --dport
2525 -j MASQUERADE --to-ports 25
[olvin@enigma olvin]$ sudo nmap -p 2525 localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-29 17:37 EET
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
2525/tcp closed unknown
Nmap finished: 1 IP address (1 host up) scanned in 0.435 seconds
[olvin@enigma olvin]$ sudo nmap -p 25 localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-29 17:37 EET
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
25/tcp open smtp
Nmap finished: 1 IP address (1 host up) scanned in 0.437 seconds
[olvin@enigma olvin]$
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-11-29 15:49 [Comm] iptables и port masquerade Olvin
@ 2005-11-29 17:56 ` Dmitry Marochko
2005-11-30 7:29 ` Olvin
0 siblings, 1 reply; 10+ messages in thread
From: Dmitry Marochko @ 2005-11-29 17:56 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 393 bytes --]
В сообщении от 29 Ноябрь 2005 18:49 Olvin написал(a):
>Хочу сделать, чтобы при обращении к любому хосту сети на tcp-порт 2525
>на самом деле происходило обращение на порт 25. Т.е. адрес получателя
>менять нельзя. Не получается. Посоветуйте что-нибудь. Вот, что я пробовал:
Скорее всего нужно воскурить мануал на предмет действия REDIRECT.
--
With best wishes,
Dmitry Marochko aka Mothlike
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-11-29 17:56 ` Dmitry Marochko
@ 2005-11-30 7:29 ` Olvin
2005-11-30 20:12 ` Dmitry Marochko
0 siblings, 1 reply; 10+ messages in thread
From: Olvin @ 2005-11-30 7:29 UTC (permalink / raw)
To: mothlike, ALT Linux Community
Dmitry Marochko wrote:
>>Хочу сделать, чтобы при обращении к любому хосту сети на tcp-порт 2525
>>на самом деле происходило обращение на порт 25. Т.е. адрес получателя
>>менять нельзя. Не получается. Посоветуйте что-нибудь. Вот, что я пробовал:
> Скорее всего нужно воскурить мануал на предмет действия REDIRECT.
Я уже воскурил и выплюнул :)
Это из другой оперы. Там редирект на ту машину, на которой это правило
действует. Например, это полезно для прозрачного проксирования.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-11-30 7:29 ` Olvin
@ 2005-11-30 20:12 ` Dmitry Marochko
2005-12-01 7:59 ` Olvin
0 siblings, 1 reply; 10+ messages in thread
From: Dmitry Marochko @ 2005-11-30 20:12 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 509 bytes --]
В сообщении от 30 Ноябрь 2005 10:29 Olvin написал(a):
>Я уже воскурил и выплюнул :)
>Это из другой оперы. Там редирект на ту машину, на которой это правило
>действует. Например, это полезно для прозрачного проксирования.
Хм-м. Действительно. Я не сразу понял, что нужно заворачивать не клиентов, а
именно запросы вашей машины. К сожаленью, тут я вам помочь не могу.
Кстати, мне интересно, а в каких случаях такой финт имееет практическое
применение? :)
--
With best wishes,
Dmitry Marochko aka Mothlike
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-11-30 20:12 ` Dmitry Marochko
@ 2005-12-01 7:59 ` Olvin
2005-12-06 12:39 ` Мерзляков Евгений Анатольевич
0 siblings, 1 reply; 10+ messages in thread
From: Olvin @ 2005-12-01 7:59 UTC (permalink / raw)
To: mothlike, ALT Linux Community
Dmitry Marochko wrote:
>>Я уже воскурил и выплюнул :)
>>Это из другой оперы. Там редирект на ту машину, на которой это правило
>>действует. Например, это полезно для прозрачного проксирования.
> Хм-м. Действительно. Я не сразу понял, что нужно заворачивать не клиентов, а
> именно запросы вашей машины. К сожаленью, тут я вам помочь не могу.
> Кстати, мне интересно, а в каких случаях такой финт имееет практическое
> применение? :)
Да, имеет. У нас один провайдер закрыл 25-й порт исходящий. По этой
причине почтовый провайдер открыл порт 2525. Хочется, чтобы все запросы
на 25-й порт хли на порт 2525. IP-адрес SMTP провайдера, в принципе,
может меняться, так что жёсткий IP-адрес SMTP-сервера (коих несколько),
прописаный в DNAT, не подходит.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-12-01 7:59 ` Olvin
@ 2005-12-06 12:39 ` Мерзляков Евгений Анатольевич
2005-12-18 13:34 ` Vladimir Karpinsky
0 siblings, 1 reply; 10+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2005-12-06 12:39 UTC (permalink / raw)
To: ALT Linux Community
On Thu, 01 Dec 2005 09:59:10 +0200
Olvin <olvin@rambler.ru> wrote:
> Dmitry Marochko wrote:
> >>Я уже воскурил и выплюнул :)
> >>Это из другой оперы. Там редирект на ту машину, на которой это правило
> >>действует. Например, это полезно для прозрачного проксирования.
> > Хм-м. Действительно. Я не сразу понял, что нужно заворачивать не клиентов, а
> > именно запросы вашей машины. К сожаленью, тут я вам помочь не могу.
> > Кстати, мне интересно, а в каких случаях такой финт имееет практическое
> > применение? :)
>
> Да, имеет. У нас один провайдер закрыл 25-й порт исходящий. По этой
> причине почтовый провайдер открыл порт 2525. Хочется, чтобы все запросы
> на 25-й порт хли на порт 2525. IP-адрес SMTP провайдера, в принципе,
> может меняться, так что жёсткий IP-адрес SMTP-сервера (коих несколько),
> прописаный в DNAT, не подходит.
> _______________________________________________
> Community mailing list
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
>
На счет макарада не знаю, а вот переадресация портов (прозрачный прокси) у меня сделана так:
$ipt -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.4.10 -p tcp --dport 80 -j REDIRECT --to-ports 3128
запрос приходящий на машину на 80 порт перенаправляется сквиду на 3128 и затем со сквида уходит в и-нет
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-12-06 12:39 ` Мерзляков Евгений Анатольевич
@ 2005-12-18 13:34 ` Vladimir Karpinsky
2005-12-19 4:41 ` Мерзляков Евгений Анатольевич
2005-12-19 8:08 ` Peter Volkov
0 siblings, 2 replies; 10+ messages in thread
From: Vladimir Karpinsky @ 2005-12-18 13:34 UTC (permalink / raw)
To: ALT Linux Community
Здравствуйте!
Вы писали 6 декабря 2005 г., 15:39:45:
МЕА> На счет макарада не знаю, а вот переадресация портов
МЕА> (прозрачный прокси) у меня сделана так:
МЕА> $ipt -t nat -A PREROUTING -s 192.168.1.0/24 -d !
МЕА> 192.168.4.10 -p tcp --dport 80 -j REDIRECT --to-ports 3128
МЕА> запрос приходящий на машину на 80 порт перенаправляется
МЕА> сквиду на 3128 и затем со сквида уходит в и-нет
Скажите, пожалуйста, а не приходилось делать аналогичную вещь, но
в случае, когда squid стоит на другой машине? Т.е. сеть:
192.168.1.0, шлюз: 192.168.1.1 (iptables там же), proxy:
192.168.1.2; хочется чтобы все пакеты идущие на 80 порт со всех
машин кроме 192.168.1.2 отправлялись на 192.168.1.2:3128, а
оттуда уже наружу. Несколько раз пробовал такую штуку написать,
но заставить работать (т.е. правильно написать) так и не смог.
--
С уважением,
Vladimir
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-12-18 13:34 ` Vladimir Karpinsky
@ 2005-12-19 4:41 ` Мерзляков Евгений Анатольевич
2005-12-19 8:08 ` Peter Volkov
1 sibling, 0 replies; 10+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2005-12-19 4:41 UTC (permalink / raw)
To: Vladimir Karpinsky, ALT Linux Community
On Sun, 18 Dec 2005 16:34:43 +0300
Vladimir Karpinsky <vkarpinsky@mail.ru> wrote:
> Скажите, пожалуйста, а не приходилось делать аналогичную вещь, но
> в случае, когда squid стоит на другой машине? Т.е. сеть:
> 192.168.1.0, шлюз: 192.168.1.1 (iptables там же), proxy:
> 192.168.1.2; хочется чтобы все пакеты идущие на 80 порт со всех
> машин кроме 192.168.1.2 отправлялись на 192.168.1.2:3128, а
> оттуда уже наружу. Несколько раз пробовал такую штуку написать,
> но заставить работать (т.е. правильно написать) так и не смог.
>
>
Такого делать не приходилось.
можно наверное включить сквид и шлюз последовательно:
схема:
интернет---[192.168.1.1]---[192.168.1.2 192.168.2.1]---[192.168.2.0]
шлюз squid внутренняя сеть
и тогда на сквиде делать переадресацию портов, и дальше пакетики пойдут наружу через шлюз
P.S. сквид должен быть настроен для прозрачного проксирования
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-12-18 13:34 ` Vladimir Karpinsky
2005-12-19 4:41 ` Мерзляков Евгений Анатольевич
@ 2005-12-19 8:08 ` Peter Volkov
2005-12-19 11:23 ` Vladimir Karpinsky
1 sibling, 1 reply; 10+ messages in thread
From: Peter Volkov @ 2005-12-19 8:08 UTC (permalink / raw)
To: Vladimir Karpinsky, ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 1034 bytes --]
Привет!
On Вск, 2005-12-18 at 16:34 +0300, Vladimir Karpinsky wrote:
> Скажите, пожалуйста, а не приходилось делать аналогичную вещь, но
> в случае, когда squid стоит на другой машине? Т.е. сеть:
> 192.168.1.0, шлюз: 192.168.1.1 (iptables там же), proxy:
> 192.168.1.2; хочется чтобы все пакеты идущие на 80 порт со всех
> машин кроме 192.168.1.2 отправлялись на 192.168.1.2:3128, а
> оттуда уже наружу. Несколько раз пробовал такую штуку написать,
> но заставить работать (т.е. правильно написать) так и не смог.
Думаю вам поможет поиск в гугле по словам transparent proxy.
В частности поиск выдаёт такую ссылку:
http://www.tldp.org/HOWTO/TransparentProxy-6.html
Peter.
[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] iptables и port masquerade
2005-12-19 8:08 ` Peter Volkov
@ 2005-12-19 11:23 ` Vladimir Karpinsky
0 siblings, 0 replies; 10+ messages in thread
From: Vladimir Karpinsky @ 2005-12-19 11:23 UTC (permalink / raw)
To: ALT Linux Community
Здравствуйте!
Вы писали 19 декабря 2005 г., 11:08:00:
PV> Думаю вам поможет поиск в гугле по словам transparent proxy.
PV> В частности поиск выдаёт такую ссылку:
PV> http://www.tldp.org/HOWTO/TransparentProxy-6.html
Вот, спасибо! Этот вариант я не видел, обычно такой поиск даёт 99%
ответов на стандартный случай (iptables-box и squid-box в одном
флаконе).
--
С уважением,
Vladimir
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2005-12-19 11:23 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-11-29 15:49 [Comm] iptables и port masquerade Olvin
2005-11-29 17:56 ` Dmitry Marochko
2005-11-30 7:29 ` Olvin
2005-11-30 20:12 ` Dmitry Marochko
2005-12-01 7:59 ` Olvin
2005-12-06 12:39 ` Мерзляков Евгений Анатольевич
2005-12-18 13:34 ` Vladimir Karpinsky
2005-12-19 4:41 ` Мерзляков Евгений Анатольевич
2005-12-19 8:08 ` Peter Volkov
2005-12-19 11:23 ` Vladimir Karpinsky
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git