[Sysadmins] Проброс портов с тарелки в локалку

[Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

Суть проблемы: 
 Тырнет рулится через шлюз, на котором ДВБ-плата и АДСЛ, прикрученный к
эфирнет-карточке.
 Со шлюза всё подаётся на биллинг-сервант, где подрублено 2 сетки - радио и
проводная.
 На самом шлюзе всё работает как надо, пакетики бегают туда-сюда, на всяк
запрос имеем отклик.
 Не работает с серванта. Ни пинг, ни телнет на нужные порты не прут, хотя
лампочки АДСЛ-мопеда дрыгаются, когда чего-то засылаем. Нет возврата по
тазику, хоть убейся... 
 При этом через проксю прёт всё, что умеет переть через проксю (в т.ч. с
подсеток). Оно же и редиректится для вящей прозрачности. 
 А вот с такими сервисами, как мыло, новости, жабер и т.п. - облом-с.
Жабер-то хоть при явном указании проксика работает, остальное - Х (крест). 

Интерфейсы шлюза: 
 lan: 192.168.2.254/24 
 adsl: 192.168.1.254/24 
 dvb0_0: 192.168.0.254/24 
 tun0: 82.211.160.243 peer 192.168.80.70/32 
 
adsl смотрит на модем с адресом 192.168.1.1/24 

С сервера на шлюз смотрит интерфейс gateway с адресом 192.168.2.253/24 
Пинг с сервера на все интерфейсы шлюза проходит, дальше - фигушки. 

На шлюзе: 
 # iptables -nL FORWARD 
 Chain FORWARD (policy ACCEPT) 
 target     prot opt source               destination 
 BLOCK      all  --  0.0.0.0/0            0.0.0.0/0 
 
 # iptables -nL BLOCK 
 Chain BLOCK (2 references) 
 target     prot opt source               destination 
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
flags:0x16/0x02 limit: avg 1/sec burst 5 
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
flags:0x17/0x04 limit: avg 1/sec burst 5 
 ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
limit: avg 1/sec burst 5 
 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
RELATED,ESTABLISHED 
 
 # iptables -nL -t nat 
 Chain PREROUTING (policy ACCEPT) 
 target     prot opt source               destination 
 REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
redir ports 2121 
 REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           multiport
dports 80,8080,8081 redir ports 3128 
 
 Chain POSTROUTING (policy ACCEPT) 
 target     prot opt source               destination 
 ACCEPT     all  --  192.168.1.1          192.168.1.1 
 SNAT       all  --  192.168.1.1          0.0.0.0/0          
to:82.211.160.243 
 SNAT       all  --  0.0.0.0/0            0.0.0.0/0          
to:192.168.1.254 
 
 Chain OUTPUT (policy ACCEPT) 
 target     prot opt source               destination 
 
На сервере: 
 # iptables -t nat -nL 
 Chain PREROUTING (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
 
 Chain POSTROUTING (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
  7636  593K SNAT       all  --  *      *       0.0.0.0/0           
0.0.0.0/0           to:192.168.2.253 
 
 Chain OUTPUT (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
 
Сделал на шлюзе по чьей-то рекомендации следующее: 
 echo "90 lan" >> /etc/iproute2/rt_tables 
 ip rule add from 192.168.2.0/24 table lan 
 ip route add default dev tun0 table lan 

Не помогло. Правда, на попытки пинга и телнета прежде по тайм-ауту выпадал,
а теперь говорит: 
 $ telnet usib.irkps.ru jabber 
 Trying 195.46.96.107... 
 telnet: connect to address 195.46.96.107: No route to host 

 $ ping usib.irkps.ru 
 PING usib.irkps.ru (195.46.96.107) 56(84) bytes of data. 
 From 192.168.2.254: icmp_seq=2 Redirect Host(New nexthop: 195.46.96.107) 
 From 192.168.2.254: icmp_seq=3 Redirect Host(New nexthop: 195.46.96.107) 
 From 192.168.2.254 icmp_seq=1 Destination Host Unreachable 
 From 192.168.2.254 icmp_seq=2 Destination Host Unreachable 
 
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] Проброс портов с тарелки в локалку

[ABATAPA]

18 апреля 2006 06:12, Вадим Илларионов написал:
> Суть проблемы:
Читал, но так и не понял - "серванты", "тырнеты", "прут", "не прут", что-то 
"дергается", видимо, "тазики"... Вы можете писАть по-человечески? Или Вы в 
остроумии соревнуетесь? И ждете на это ответ?!

Из приведенной информации так и не понял - что же вы имеете на роутере, и, 
главное, чего хотите? Судя по части написанного - принудительный transparent 
proxy + NAT? Вы пробовали удалить все лишнее?
Что говорит
# cat /proc/sys/net/ipv4/ip_forward

Вы настраивали route? Зачем, если делаете NAT?
Вообще, пробовали читать хотя бы http://lartc.org?
-- 
ABATAPA

Re: [Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

ABATAPA wrote:

> 18 апреля 2006 06:12, Вадим Илларионов написал:
>> Суть проблемы:
> Читал, но так и не понял - "серванты", "тырнеты", "прут", "не прут",
> что-то "дергается", видимо, "тазики"... Вы можете писАть по-человечески?
Вас не смущает, когда в этой рассылке проскакивают выражения типа "курить
маны" и им подобные? Или когда подобные сленговые словечки исходят от
уважаемых мейнтейнеров и альт-тимовцев (не корёжат ли, кстати, слова
"мейнтейнер" и "тим" в не переведённом, а в слепо транскрибированном
виде?)?

> Или Вы в остроумии соревнуетесь? И ждете на это ответ?!
Отнюдь. Просто всякой професии свойственен некоторый набор жаргонизмов.
А здесь, если я верно ошибаюсь, сообщество профессионалов, именно подобный
набор зачастую применяющих.

> Из приведенной информации так и не понял - что же вы имеете на роутере, и,
> главное, чего хотите? Судя по части написанного - принудительный
> transparent proxy + NAT?
Да, на рУтере (пусть маршрутизаторе) у меня прозрачный прокси,
организованный, разумеется, не без НАТа.
(Слово "эфирнет" Вас, кстати, не больно задело? А в оригинале звучит почти
так. Отнюдь не "эЗЕрнет". Да и поосмыслленней будет.)

> Вы пробовали удалить все лишнее? 
Знать бы, что именно здесь лишнее - давно поудалял бы. Я ж листинги команд
привёл. Каких не хватает? Я дошлю.

> Что говорит
> # cat /proc/sys/net/ipv4/ip_forward
1

> Вы настраивали route? Зачем, если делаете NAT?
Потому что НАТ не помог. Потому что не хватает соображаловки. Потому что не
доводилось прежде настраивать не только сложной маршрутизации, но и просто
такого варианта, как восходящий - по одному интерфейсу, нисходящий же - по
другому, с возвратом оного в сеть, а не на единственную тачку (пусть ЭВМ).

> Вообще, пробовали читать хотя бы http://lartc.org?
Пробовал. Не доходит. Может, я тупой, может, винтик какой не повернулся
пока, чтоб из каши в голове всё по полочкам разложилось, а может, ошибка в
ДНК. Чего б иначе я сюда со своими проблемами лез?..
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] Проброс портов с тарелки в локалку

[ABATAPA]

18 апреля 2006 11:19, Вадим Илларионов написал:

> Да, на рУтере (пусть маршрутизаторе) у меня прозрачный прокси,
> организованный, разумеется, не без НАТа.
Хм... Ну, DNAT, конечно, тоже NAT....

> Знать бы, что именно здесь лишнее - давно поудалял бы. Я ж листинги команд
> привёл. Каких не хватает? Я дошлю.
Если все работает - оставляйте. Если нет - не городите одно на другое. 
Начинайте сначала, и с малого.
Удалите все правила для iptables, и сделайте (прямо по учебнику) MASQUERADE.
# iptables -t nat -A POSTROUTING -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
 Работает?


> Потому что НАТ не помог. 
У вас 1 IP? Тогда какая там маршрутизация? 
Или у вас все же выделен блок адресов провайдером (спутниковым)?
-- 
ABATAPA

Re: [Sysadmins] *****SPAM***** Re: Проброс портов с тарелки в локалку

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 852 bytes --]

Вадим Илларионов пишет:
> ABATAPA wrote:
> 
>> 18 апреля 2006 06:12, Вадим Илларионов написал:
> 
>> Или Вы в остроумии соревнуетесь? И ждете на это ответ?!
> Отнюдь. Просто всякой професии свойственен некоторый набор жаргонизмов.
> А здесь, если я верно ошибаюсь, сообщество профессионалов, именно подобный
> набор зачастую применяющих.
> 
И всё-таки, попробуйте ещё раз без жаргона последовательно изложить
проблему. Пока она не понятна. Чего хотите, что есть и что не так.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

ABATAPA wrote:

>> Да, на рУтере (пусть маршрутизаторе) у меня прозрачный прокси,
>> организованный, разумеется, не без НАТа.
> Хм... Ну, DNAT, конечно, тоже NAT....
 
>> Знать бы, что именно здесь лишнее - давно поудалял бы. Я ж листинги
>> команд привёл. Каких не хватает? Я дошлю.
> Если все работает - оставляйте. Если нет - не городите одно на другое.
> Начинайте сначала, и с малого.
> Удалите все правила для iptables, и сделайте (прямо по учебнику)
> MASQUERADE.
> # iptables -t nat -A POSTROUTING -j MASQUERADE
> # echo 1 > /proc/sys/net/ipv4/ip_forward
>  Работает?
С этого всё и начиналось. Но именно потому, что не заработало, и стал огород
городить. Рецепты искать да на себе, аки врач-подвижник, пробовать. Пока
что - увы...

>> Потому что НАТ не помог.
> У вас 1 IP? Тогда какая там маршрутизация?
> Или у вас все же выделен блок адресов провайдером (спутниковым)?
Сначала был только АйПи провайдера АДСЛ.
Вчера запросил у спутникового провайдера реальный АйПи. Выделили. Не
помогло.

Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а
как отдать - не понимаю...

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] *****SPAM***** Re: Проброс портов с тарелки в локалку

[Вадим Илларионов]

Andrii Dobrovol`s`kii wrote:

> И всё-таки, попробуйте ещё раз без жаргона последовательно изложить
> проблему. Пока она не понятна. Чего хотите, что есть и что не так.
OK

Суть проблемы: 
 К интернету подключены через шлюз с ДВБ-платой и с АДСЛ через
эфирнет-карточку.
 Со шлюза всё подаётся на сервер с ещё 2 сетками - радио и проводной.
 На самом шлюзе всё работает как надо, пакетики бегают туда-сюда, на всяк
запрос имеем отклик.
 Не работает с сервера. Ни пинг, ни телнет на нужные порты не идут, хотя
индикаторы АДСЛ-модема моргают, когда чего-то засылаем из сети вовне. Нет
возврата с ДВБ, хоть убейся...
 При этом через шлюзовой прокси проходит всё, что умеет ходить через прокси
(в т.ч. с подсеток). Оно же и редиректится для вящей прозрачности. 
 А вот с такими сервисами, как почта, новости, джаббер и т.п. - облом-с.
Джаббер-то хоть при явном указании прокси работает, остальное - по нулям.
 Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а
как отдать - не понимаю...

Интерфейсы шлюза: 
 lan: 192.168.2.254/24 
 adsl: 192.168.1.254/24 
 dvb0_0: 192.168.0.254/24 
 tun0: 82.211.160.243 peer 192.168.80.70/32 
 
adsl смотрит на модем с адресом 192.168.1.1/24 

С сервера на шлюз смотрит интерфейс gateway с адресом 192.168.2.253/24 
Пинг с сервера на все интерфейсы шлюза проходит, дальше - фигушки. 

На шлюзе: 
 # iptables -nL FORWARD 
 Chain FORWARD (policy ACCEPT) 
 target     prot opt source               destination 
 BLOCK      all  --  0.0.0.0/0            0.0.0.0/0 
 
 # iptables -nL BLOCK 
 Chain BLOCK (2 references) 
 target     prot opt source               destination 
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
flags:0x16/0x02 limit: avg 1/sec burst 5 
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
flags:0x17/0x04 limit: avg 1/sec burst 5 
 ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
limit: avg 1/sec burst 5 
 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
RELATED,ESTABLISHED 
 
 # iptables -nL -t nat 
 Chain PREROUTING (policy ACCEPT) 
 target     prot opt source               destination 
 REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
redir ports 2121 
 REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           multiport
dports 80,8080,8081 redir ports 3128 
 
 Chain POSTROUTING (policy ACCEPT) 
 target     prot opt source               destination 
 ACCEPT     all  --  192.168.1.1          192.168.1.1 
 SNAT       all  --  192.168.1.1          0.0.0.0/0          
to:82.211.160.243 
 SNAT       all  --  0.0.0.0/0            0.0.0.0/0          
to:192.168.1.254 
 
 Chain OUTPUT (policy ACCEPT) 
 target     prot opt source               destination 
 
На сервере: 
 # iptables -t nat -nL 
 Chain PREROUTING (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
 
 Chain POSTROUTING (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
  7636  593K SNAT       all  --  *      *       0.0.0.0/0           
0.0.0.0/0           to:192.168.2.253 
 
 Chain OUTPUT (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
 
Сделал на шлюзе по чьей-то рекомендации следующее: 
 echo "90 lan" >> /etc/iproute2/rt_tables 
 ip rule add from 192.168.2.0/24 table lan 
 ip route add default dev tun0 table lan 

Не помогло. Правда, на попытки пинга и телнета прежде по тайм-ауту выпадал,
а теперь говорит: 
 $ telnet usib.irkps.ru jabber 
 Trying 195.46.96.107... 
 telnet: connect to address 195.46.96.107: No route to host 

 $ ping usib.irkps.ru 
 PING usib.irkps.ru (195.46.96.107) 56(84) bytes of data. 
 From 192.168.2.254: icmp_seq=2 Redirect Host(New nexthop: 195.46.96.107) 
 From 192.168.2.254: icmp_seq=3 Redirect Host(New nexthop: 195.46.96.107) 
 From 192.168.2.254 icmp_seq=1 Destination Host Unreachable 
 From 192.168.2.254 icmp_seq=2 Destination Host Unreachable 

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] Проброс портов с тарелки в локалку

[ABATAPA]

18 апреля 2006 12:10, Вадим Илларионов написал:
> С этого всё и начиналось. Но именно потому, что не заработало, и стал
> огород городить. Рецепты искать да на себе, аки врач-подвижник, пробовать.
> Пока что - увы...
Что именно не работало?
Локальная машина была настроена? IP фдреса, routing, default gateway, тунель?

> Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а
> как отдать - не понимаю...
Куда - обратно?
У вас есть наземный канал, и тунель. Больше Вам ничего не нужно.


Что-то Вы как-то не так рассуждаете.
Берите с Яндекса любую статью по настройке спутникового Интернета, и смотрите 
на примеры.

-- 
ABATAPA

Re: [Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

ABATAPA wrote:

> 18 апреля 2006 12:10, Вадим Илларионов написал:
>> С этого всё и начиналось. Но именно потому, что не заработало, и стал
>> огород городить. Рецепты искать да на себе, аки врач-подвижник,
>> пробовать. Пока что - увы...
> Что именно не работало?
> Локальная машина была настроена? IP фдреса, routing, default gateway,
> тунель?
Локальная машина (она же - шлюз) работала. И работает. И всё было настроено,
иначе едва ли она заработала бы.


>> Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть,
>> а как отдать - не понимаю...
> Куда - обратно?
> У вас есть наземный канал, и тунель. Больше Вам ничего не нужно.
Мне нужно, чтобы по туннелю трафик, запрошенный из локальной сети, в неё же
возвращался. Этого-то и не происходит.

> Что-то Вы как-то не так рассуждаете.
> Берите с Яндекса любую статью по настройке спутникового Интернета, и
> смотрите на примеры.
Попробую.

Re: [Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

Добавил на шлюзе:
iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 82.211.160.243
Заработало. Ура.

Re: [Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

Вадим Илларионов wrote:

> Добавил на шлюзе:
> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 82.211.160.243
> Заработало. Ура.

Видать, винтик в башке на место встал. Каша по полочкам разлеглась.

Re: [Sysadmins] Проброс портов с тарелки в локалку

[ABATAPA]

18 апреля 2006 13:45, Вадим Илларионов написал:
> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 82.211.160.243
> Заработало. Ура.
Работало бы и с MASQUERADE при правильно настроенном сервере.
Но в Вашем случае (с фиксированным IP туннеля) подойдет и SNAT.
Видите, как полезно читать доки. :)
-- 
ABATAPA

Re: [Sysadmins] Проброс портов с тарелки в локалку

[ABATAPA]

18 апреля 2006 13:12, Вадим Илларионов написал:
> Локальная машина (она же - шлюз) работала. И работает. И всё было
> настроено, иначе едва ли она заработала бы.
Не факт. Она может "работать" и через Ваш ADSL, а не через туннель на спутник.
Проверьте маршруты по-умолчанию.

>Мне нужно, чтобы по туннелю трафик, запрошенный из локальной сети, в неё же
>возвращался. Этого-то и не происходит.
Тот же самый "тафик"? ;) А звучит так...
Настраивайте MASQUERADE или SNAT.

>Попробую.
Вижу, что получилось. :)

-- 
ABATAPA

Re: [Sysadmins] Проброс портов с тарелки в локалку

[Вадим Илларионов]

ABATAPA wrote:

> 18 апреля 2006 13:12, Вадим Илларионов написал:
>> Локальная машина (она же - шлюз) работала. И работает. И всё было
>> настроено, иначе едва ли она заработала бы.
> Не факт. Она может "работать" и через Ваш ADSL, а не через туннель на
> спутник. Проверьте маршруты по-умолчанию.
Здесь как раз сомнений не было. Входящий трафик по АДСЛ был практически
нулевым, хотя и почту принимали, и файлы не мелкие скачивали.

>>Мне нужно, чтобы по туннелю трафик, запрошенный из локальной сети, в неё
>>же возвращался. Этого-то и не происходит.
> Тот же самый "тафик"? ;) А звучит так...
Не "тот же". А "запрошенный". Повнимательнее читайте.

> Настраивайте MASQUERADE или SNAT.
С ними и вошкался. Почему-то через маскировку ничего не вышло, а со СНАТом -
уже знаете.

>>Попробую.
> Вижу, что получилось. :)
Таки да.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00