* Re: [Sysadmins] DNAT???
@ 2006-12-23 15:58 ` Dmitry Dolgopolov
2006-12-25 7:31 ` Nikolay(computer-service.ru)
0 siblings, 1 reply; 5+ messages in thread
From: Dmitry Dolgopolov @ 2006-12-23 15:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравстуйте!
По-моему у вас просто перепутаны интерфейсы. Должно быть что-то вроде
-A PREROUTING -p tcp -d 192.168.0.40 --dport 80 -j DNAT --to-destination 192.168.1.1:80
тогда при обращении на 192.168.0.40:80 запрос будет перенаправляться на 192.168.1.1:80
> Здравствуйте уважаемое сообщество!
> Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними
> стоит ALT мастер 2.4(ядро 2.4)
> с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> сети по определенному порту(80),
> но сети при этом друг друга не видели. Думаю надо использовать DNAT
> пишу в iptables
> -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> 192.168.0.40:80
>
> Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего.
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
С уважением,
Дмитрий Долгополов
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNAT???
2006-12-23 15:58 ` [Sysadmins] DNAT??? Dmitry Dolgopolov
@ 2006-12-25 7:31 ` Nikolay(computer-service.ru)
2006-12-25 9:22 ` smont
0 siblings, 1 reply; 5+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-25 7:31 UTC (permalink / raw)
To: Dmitry Dolgopolov, ALT Linux sysadmin discuss
> Здравстуйте!
>
> По-моему у вас просто перепутаны интерфейсы. Должно быть что-то вроде
>
> -A PREROUTING -p tcp -d 192.168.0.40 --dport 80 -j DNAT --to-destination
192.168.1.1:80
> тогда при обращении на 192.168.0.40:80 запрос будет перенаправляться на
192.168.1.1:80
>
а ответ от 192.168.1.1:80 как получить обратно на 192.168.0.40?? SNAT ??
> > Здравствуйте уважаемое сообщество!
> > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между
ними
> > стоит ALT мастер 2.4(ядро 2.4)
> > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> > сети по определенному порту(80),
> > но сети при этом друг друга не видели. Думаю надо использовать DNAT
> > пишу в iptables
> > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> > 192.168.0.40:80
> >
> > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего.
> >
> > _______________________________________________
> > Sysadmins mailing list
> > Sysadmins@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/sysadmins
> >
>
> С уважением,
> Дмитрий Долгополов
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNAT???
2006-12-25 7:31 ` Nikolay(computer-service.ru)
@ 2006-12-25 9:22 ` smont
2006-12-25 15:29 ` Nikolay(computer-service.ru)
0 siblings, 1 reply; 5+ messages in thread
From: smont @ 2006-12-25 9:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, Nikolay(computer-service.ru).
Вы писали 25 декабря 2006 г., 10:31:07:
>> Здравстуйте!
>>
>> По-моему у вас просто перепутаны интерфейсы. Должно быть что-то вроде
>>
>> -A PREROUTING -p tcp -d 192.168.0.40 --dport 80 -j DNAT --to-destination
> 192.168.1.1:80
>> тогда при обращении на 192.168.0.40:80 запрос будет перенаправляться на
> 192.168.1.1:80
>>
> а ответ от 192.168.1.1:80 как получить обратно на 192.168.0.40?? SNAT ??
>> > Здравствуйте уважаемое сообщество!
>> > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между
> ними
>> > стоит ALT мастер 2.4(ядро 2.4)
>> > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
>> > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
>> > сети по определенному порту(80),
>> > но сети при этом друг друга не видели. Думаю надо использовать DNAT
>> > пишу в iptables
>> > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
>> > 192.168.0.40:80
>> >
>> > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего.
>> >
>> > _______________________________________________
>> > Sysadmins mailing list
>> > Sysadmins@lists.altlinux.org
>> > https://lists.altlinux.org/mailman/listinfo/sysadmins
>> >
>>
>> С уважением,
>> Дмитрий Долгополов
skip
>Есть 2 сети 192.168.0.* и 192.168.1.* между
ними
> > стоит ALT мастер 2.4(ядро 2.4)
> > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> > сети по определенному порту(80),
> > но сети при этом друг друга не видели.
skip
>А если это не только 80 порт, вообще любой порт одной машины пробросить на
>другую машину.
>skip
Мне кажется это задачка не про D/S NAT,а про маршрутизацию.
Каждая сеть 192.168.0.XXX и 192.168.1.XXX имеет свой default gateway -не веущий в соседнюю.
Комп с 2 картами видит обе сети. На нем разрешена пересылка пакетов
из одной сети в другую.
Если каждому шлюзу сети объяснить про существование другой сети
route add -net 192.168.0.XXX gw 192.168.1.40
и
route add -net 192.168.1.XXX gw 192.168.0.40
то сети узнают о связи друг с другом через комп с 2_мя интерфейсами.
Если такую запись сделать не на шлюзе, а только на каждой из 2_х машин в разных
подсетях( прописывая в роутинг не сеть а отдельную машину )
--то 2 этих компьютера увидят друг друга (остальным машинам
про это ничего известно не будет.)
Как отфильтровать доступ только нужный порт на компьютере между сетями
--здесь уже приводилось -запретиь всё кроме 80 порта.
Что бы не "светить" IP адресами - на нужных для сообщения машинах
оформляем файл .
--
С уважением,
smont mailto:smont@mail.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNAT???
2006-12-25 9:22 ` smont
@ 2006-12-25 15:29 ` Nikolay(computer-service.ru)
2006-12-25 15:51 ` Andrii Dobrovol`s`kii
0 siblings, 1 reply; 5+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-25 15:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> skip
>
> >А если это не только 80 порт, вообще любой порт одной машины пробросить
на
> >другую машину.
> >skip
> Мне кажется это задачка не про D/S NAT,а про маршрутизацию.
> Каждая сеть 192.168.0.XXX и 192.168.1.XXX имеет свой default gateway -не
веущий в соседнюю.
> Комп с 2 картами видит обе сети. На нем разрешена пересылка пакетов
> из одной сети в другую.
> Если каждому шлюзу сети объяснить про существование другой сети
> route add -net 192.168.0.XXX gw 192.168.1.40
> и
> route add -net 192.168.1.XXX gw 192.168.0.40
> то сети узнают о связи друг с другом через комп с 2_мя интерфейсами.
> Если такую запись сделать не на шлюзе, а только на каждой из 2_х машин в
разных
> подсетях( прописывая в роутинг не сеть а отдельную машину )
> --то 2 этих компьютера увидят друг друга (остальным машинам
> про это ничего известно не будет.)
> Как отфильтровать доступ только нужный порт на компьютере между сетями
> --здесь уже приводилось -запретиь всё кроме 80 порта.
> Что бы не "светить" IP адресами - на нужных для сообщения машинах
> оформляем файл .
СПАСИБО всем кто принял живое участие в обсуждении проблемы!!!!
Задача разрешилась применением S/D NAT
Отчет:
1. Разрешаем на машине с 2 картами форвардинг (sysctl.conf ->
net.ipv4.ip_forward = 1)
2. в iptables добавляем правила
*nat
-A PREROUTING -p tcp -d 192.168.0.40 --dport 80 -j DNAT --to-destination
192.168.1.1:80
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source
192.168.1.1
*filter
-A FORWARD -s 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT
-A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Обращаемся из сети 192.168.0.0/255.255.255.0 на 192.168.0.40:80 и получаем
данные с 192.168.1.1:80
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNAT???
2006-12-25 15:29 ` Nikolay(computer-service.ru)
@ 2006-12-25 15:51 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 5+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-12-25 15:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1457 bytes --]
Nikolay(computer-service.ru) пишет:
> СПАСИБО всем кто принял живое участие в обсуждении проблемы!!!!
> Задача разрешилась применением S/D NAT
> Отчет:
> 1. Разрешаем на машине с 2 картами форвардинг (sysctl.conf ->
> net.ipv4.ip_forward = 1)
Это понятно.
> 2. в iptables добавляем правила
>
> *nat
> -A PREROUTING -p tcp -d 192.168.0.40 --dport 80 -j DNAT --to-destination
> 192.168.1.1:80
Это понятно.
> -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source
> 192.168.1.1
>
А тут Ваша мысль мне не понятна... (Какой адрес на каком интерфейсе?)
>
> *filter
> -A FORWARD -s 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT
Это понятно. Если eth0 исходящий итерфейс в другую сеть. Но, нужно ли?
> -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>
Это понятно, но, почему так односторонне?
> Обращаемся из сети 192.168.0.0/255.255.255.0 на 192.168.0.40:80 и получаем
> данные с 192.168.1.1:80
>
>
Хорошо, что работает. :) А что покажет вывод iptables -L -v -t nat в
процессе работы? Я про счетчики пакетов для каждого правила.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2006-12-25 15:51 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-12-23 15:58 ` [Sysadmins] DNAT??? Dmitry Dolgopolov
2006-12-25 7:31 ` Nikolay(computer-service.ru)
2006-12-25 9:22 ` smont
2006-12-25 15:29 ` Nikolay(computer-service.ru)
2006-12-25 15:51 ` Andrii Dobrovol`s`kii
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git