ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] DNAT???
@ 2006-12-20  8:39 Nikolay(computer-service.ru)
  2006-12-20  8:50 ` Alexey Sidorov
                   ` (3 more replies)
  0 siblings, 4 replies; 19+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-20  8:39 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте уважаемое сообщество!
Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними
стоит ALT мастер 2.4(ядро 2.4)
с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
сети по определенному порту(80),
но сети при этом друг друга не видели. Думаю надо использовать DNAT
пишу в iptables
 -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
192.168.0.40:80

Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru)
@ 2006-12-20  8:50 ` Alexey Sidorov
  2006-12-20  9:21   ` Nikolay(computer-service.ru)
  2006-12-20  9:02 ` Anton Kvashin
                   ` (2 subsequent siblings)
  3 siblings, 1 reply; 19+ messages in thread
From: Alexey Sidorov @ 2006-12-20  8:50 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Nikolay(computer-service.ru) пишет:
> Здравствуйте уважаемое сообщество!
> Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними
> стоит ALT мастер 2.4(ядро 2.4)
> с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> сети по определенному порту(80),
> но сети при этом друг друга не видели. Думаю надо использовать DNAT
> пишу в iptables
>  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> 192.168.0.40:80
> 
> Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
> 
не надо dnat
просто разреши этому компу видеть 80 порт другого компа, а после этого правила  запрети остальной обмен между сетями

-- 
С уважением,	Алексей Сидоров
 	mailto:alex@reutman.ru
	JID: alex@reutman.ru
	ICQ: 5052225


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru)
  2006-12-20  8:50 ` Alexey Sidorov
@ 2006-12-20  9:02 ` Anton Kvashin
  2006-12-20  9:04   ` Nikolay(computer-service.ru)
  2006-12-20 19:10 ` Olvin
  2006-12-27 11:55 ` Ildar Mulyukov
  3 siblings, 1 reply; 19+ messages in thread
From: Anton Kvashin @ 2006-12-20  9:02 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Nikolay(computer-service.ru) пишет:
> Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> сети по определенному порту(80),
> но сети при этом друг друга не видели. Думаю надо использовать DNAT
> пишу в iptables
>  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> 192.168.0.40:80

При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80

> Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.

Из примера, видно, запрос идет в одной сети, причем здесь 
192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен 
ответить 192.168.0.40, если конечно, все правильно настроено.

-- 
Anton Kvashin


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  9:02 ` Anton Kvashin
@ 2006-12-20  9:04   ` Nikolay(computer-service.ru)
  2006-12-20  9:42     ` Alexander Volkov
  2006-12-20 10:18     ` Andrii Dobrovol`s`kii
  0 siblings, 2 replies; 19+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-20  9:04 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

----- Original Message ----- 
From: "Anton Kvashin" <foo@junior.esoo.ru>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Sent: Wednesday, December 20, 2006 12:02 PM
Subject: Re: [Sysadmins] DNAT???


> Nikolay(computer-service.ru) пишет:
> > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> > сети по определенному порту(80),
> > но сети при этом друг друга не видели. Думаю надо использовать DNAT
> > пишу в iptables
> >  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> > 192.168.0.40:80
>
> При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80
>
> > Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
>
> Из примера, видно, запрос идет в одной сети, причем здесь
> 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен
> ответить 192.168.0.40, если конечно, все правильно настроено.

сети разные надо увидеть комп 192.168.1.1:80 из 192.168.0.0/24 но при этом
ничего больше




>
> -- 
> Anton Kvashin
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  8:50 ` Alexey Sidorov
@ 2006-12-20  9:21   ` Nikolay(computer-service.ru)
  2006-12-20 10:26     ` Alexander Volkov
  0 siblings, 1 reply; 19+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-20  9:21 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

> Nikolay(computer-service.ru) пишет:
> > Здравствуйте уважаемое сообщество!
> > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между
ними
> > стоит ALT мастер 2.4(ядро 2.4)
> > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> > сети по определенному порту(80),
> > но сети при этом друг друга не видели. Думаю надо использовать DNAT
> > пишу в iptables
> >  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> > 192.168.0.40:80
> >
> > Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
> >
> не надо dnat
> просто разреши этому компу видеть 80 порт другого компа, а после этого
правила  запрети остальной обмен между сетями

комп с ip 192.168.0.40 не является шлюзом для сети 192.168.0.0/24 насколько
я понимаю
без этого запросы на 192.168.1.1:80 не пойдут.

А мне бы надо сделать  чтобы я обратившись из сети 192.168.0.0/24 на
192.168.0.40:80 получил ответ
от 192.168.1.1:80, как если бы он был в 192.168.0.0/24

>
> -- 
> С уважением, Алексей Сидоров
>   mailto:alex@reutman.ru
> JID: alex@reutman.ru
> ICQ: 5052225
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  9:04   ` Nikolay(computer-service.ru)
@ 2006-12-20  9:42     ` Alexander Volkov
  2006-12-20 10:18     ` Andrii Dobrovol`s`kii
  1 sibling, 0 replies; 19+ messages in thread
From: Alexander Volkov @ 2006-12-20  9:42 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On 2006-12-20 12:04:26 +0300, Nikolay(computer-service.ru) wrote:
Ncsr> ----- Original Message ----- 
Ncsr> From: "Anton Kvashin" <foo@junior.esoo.ru>
Ncsr> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Ncsr> Sent: Wednesday, December 20, 2006 12:02 PM
Ncsr> Subject: Re: [Sysadmins] DNAT???


Ncsr> > Nikolay(computer-service.ru) пишет:
Ncsr> > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
Ncsr> > > сети по определенному порту(80),
Ncsr> > > но сети при этом друг друга не видели. Думаю надо использовать DNAT
Ncsr> > > пишу в iptables
Ncsr> > >  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
Ncsr> > > 192.168.0.40:80
Ncsr> >
Ncsr> > При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80
Ncsr> >
Ncsr> > > Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
Ncsr> >
Ncsr> > Из примера, видно, запрос идет в одной сети, причем здесь
Ncsr> > 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен
Ncsr> > ответить 192.168.0.40, если конечно, все правильно настроено.

Ncsr> сети разные надо увидеть комп 192.168.1.1:80 из 192.168.0.0/24 но при этом
Ncsr> ничего больше
ну так добавьте правило для  FORWARD перед тем, как запретить все
остальное 
--
 Regards, Alexander



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  9:04   ` Nikolay(computer-service.ru)
  2006-12-20  9:42     ` Alexander Volkov
@ 2006-12-20 10:18     ` Andrii Dobrovol`s`kii
  1 sibling, 0 replies; 19+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-12-20 10:18 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1755 bytes --]

Nikolay(computer-service.ru) пишет:
> 
>> Nikolay(computer-service.ru) пишет:
>>> Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
>>> сети по определенному порту(80),
>>> но сети при этом друг друга не видели. Думаю надо использовать DNAT
>>> пишу в iptables
>>>  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
>>> 192.168.0.40:80
>> При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80
>>
>>> Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
>> Из примера, видно, запрос идет в одной сети, причем здесь
>> 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен
>> ответить 192.168.0.40, если конечно, все правильно настроено.
> 
> сети разные надо увидеть комп 192.168.1.1:80 из 192.168.0.0/24 но при этом
> ничего больше
> 
Как уже написали рядом, одного DNAT мало. Просто постройте всю
логическую цепочку обработки запроса. :)
Если Вы хотите чтоб при обращении к 192.168.1.1:80 он отвечал, то
должна быть доступна маршрутизация пакетов на этот адрес. Смотрели
таблицу маршрутизации?
Если это машина из другой сети, то должен быть разрешен форвардинг
между сетями. Он разрешен?
И обращаться нужно именно к той машине. Тогда и будет срабатывать
преобразование адреса назначения. Если Вы изначально обращаететсь к
192.168.0.40 то правило DNAT отдыхает... ;)
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  9:21   ` Nikolay(computer-service.ru)
@ 2006-12-20 10:26     ` Alexander Volkov
  0 siblings, 0 replies; 19+ messages in thread
From: Alexander Volkov @ 2006-12-20 10:26 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On 2006-12-20 12:21:14 +0300, Nikolay(computer-service.ru) wrote:
Ncsr> > Nikolay(computer-service.ru) пишет:
Ncsr> > > Здравствуйте уважаемое сообщество!
Ncsr> > > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между
Ncsr> ними
Ncsr> > > стоит ALT мастер 2.4(ядро 2.4)
Ncsr> > > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
Ncsr> > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
Ncsr> > > сети по определенному порту(80),
Ncsr> > > но сети при этом друг друга не видели. Думаю надо использовать DNAT
Ncsr> > > пишу в iptables
Ncsr> > >  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
Ncsr> > > 192.168.0.40:80
Ncsr> > >
Ncsr> > > Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
Ncsr> > >
Ncsr> > не надо dnat
Ncsr> > просто разреши этому компу видеть 80 порт другого компа, а после этого
Ncsr> правила  запрети остальной обмен между сетями

Ncsr> комп с ip 192.168.0.40 не является шлюзом для сети 192.168.0.0/24 насколько
Ncsr> я понимаю
Ncsr> без этого запросы на 192.168.1.1:80 не пойдут.

Ncsr> А мне бы надо сделать  чтобы я обратившись из сети 192.168.0.0/24 на
Ncsr> 192.168.0.40:80 получил ответ
Ncsr> от 192.168.1.1:80, как если бы он был в 192.168.0.0/24
тогда, насколько понимаю, в вышеупомянутом правиле не надо указывать -d
192.168.1.1
--
 Regards, Alexander



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru)
  2006-12-20  8:50 ` Alexey Sidorov
  2006-12-20  9:02 ` Anton Kvashin
@ 2006-12-20 19:10 ` Olvin
  2006-12-21  8:44   ` Nikolay(computer-service.ru)
  2006-12-27 11:55 ` Ildar Mulyukov
  3 siblings, 1 reply; 19+ messages in thread
From: Olvin @ 2006-12-20 19:10 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Nikolay(computer-service.ru) пишет:
> Здравствуйте уважаемое сообщество!
> Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними
> стоит ALT мастер 2.4(ядро 2.4)
> с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> сети по определенному порту(80),
> но сети при этом друг друга не видели. Думаю надо использовать DNAT
> пишу в iptables
>  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> 192.168.0.40:80
> Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.

Если машина - шлюз, то ничего такого не надоразве что запретить форвард
всего кроме -p tcp --dport 80 -d 192.168.1.1, а также ESTABLISHED и
RELATED. Если нет, то только
прокси. Возможно, прозрачный. Иначе никак. AFAIK.




^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20 19:10 ` Olvin
@ 2006-12-21  8:44   ` Nikolay(computer-service.ru)
  2006-12-22 15:44     ` Olvin
  2006-12-22 17:29     ` Michael Shigorin
  0 siblings, 2 replies; 19+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-21  8:44 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

> Nikolay(computer-service.ru) пишет:
> > Здравствуйте уважаемое сообщество!
> > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между
ними
> > стоит ALT мастер 2.4(ядро 2.4)
> > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
> > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
> > сети по определенному порту(80),
> > но сети при этом друг друга не видели. Думаю надо использовать DNAT
> > пишу в iptables
> >  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> > 192.168.0.40:80
> > Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
>
> Если машина - шлюз, то ничего такого не надоразве что запретить форвард
> всего кроме -p tcp --dport 80 -d 192.168.1.1, а также ESTABLISHED и
> RELATED. Если нет, то только
> прокси. Возможно, прозрачный. Иначе никак. AFAIK.

В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни в другой
сети.
надо из одной сети (192.168.1.0./24) выкинуть порт 80(порт не важен)
машины(192.168.1.1) в другую сеть 192.168.0.0./24

>
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-21  8:44   ` Nikolay(computer-service.ru)
@ 2006-12-22 15:44     ` Olvin
  2006-12-22 15:53       ` Andrii Dobrovol`s`kii
  2006-12-22 17:29     ` Michael Shigorin
  1 sibling, 1 reply; 19+ messages in thread
From: Olvin @ 2006-12-22 15:44 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Nikolay(computer-service.ru) пишет:
>>>Здравствуйте уважаемое сообщество!
>>>Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.*
>>>между ними стоит ALT мастер 2.4(ядро 2.4)
>>>с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
>>>Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
>>>сети по определенному порту(80),
>>>но сети при этом друг друга не видели. Думаю надо использовать DNAT
>>>пишу в iptables
>>> -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
>>>192.168.0.40:80
>>>Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш чего.
>>Если машина - шлюз, то ничего такого не надоразве что запретить форвард
>>всего кроме -p tcp --dport 80 -d 192.168.1.1, а также ESTABLISHED и
>>RELATED. Если нет, то только
>>прокси. Возможно, прозрачный. Иначе никак. AFAIK.
> В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни в другой
> сети.
> надо из одной сети (192.168.1.0./24) выкинуть порт 80(порт не важен)
> машины(192.168.1.1) в другую сеть 192.168.0.0./24

Тогда только прокси. С прямым прописыванием в браузере. Про прозрачность
- это я погорячился.


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-22 15:44     ` Olvin
@ 2006-12-22 15:53       ` Andrii Dobrovol`s`kii
  0 siblings, 0 replies; 19+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-12-22 15:53 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 866 bytes --]

Olvin пишет:
> Nikolay(computer-service.ru) пишет:
> В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни в другой
>> сети.
>> надо из одной сети (192.168.1.0./24) выкинуть порт 80(порт не важен)
>> машины(192.168.1.1) в другую сеть 192.168.0.0./24
> 
> Тогда только прокси. С прямым прописыванием в браузере. Про прозрачность
> - это я погорячился.
Может и не только... Хотя, прокси тоже сможет. Я пока так и не понял
чего хочется. Возможно, хватит DNAT, но правильно описанного.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-21  8:44   ` Nikolay(computer-service.ru)
  2006-12-22 15:44     ` Olvin
@ 2006-12-22 17:29     ` Michael Shigorin
  2006-12-23 18:32       ` Olvin
  1 sibling, 1 reply; 19+ messages in thread
From: Michael Shigorin @ 2006-12-22 17:29 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Thu, Dec 21, 2006 at 11:44:36AM +0300, Nikolay(computer-service.ru) wrote:
> > > с двумя сетевыми картами и двумя ip(192.168.0.40 и
> > > 192.168.1.40) Нужно чтобы в одной сети(192.168.0.*) был
> > > виден комп другой(192.168.1.1) сети по определенному
> > > порту(80), но сети при этом друг друга не видели. Думаю
> > > надо использовать DNAT пишу в iptables -A PREROUTING -p tcp
> > > -d 192.168.1.1 --dport 80 -j DNAT --to-destination
> > > 192.168.0.40:80 Обращаюсь из сети 192.168.0.*  к ip
> > > 192.168.0.40 на 80 порт и шиш чего.
> > Если машина - шлюз, то ничего такого не надоразве что
> > запретить форвард всего кроме -p tcp --dport 80 -d
> > 192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
> > только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
> В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
> в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
> порт 80(порт не важен) машины(192.168.1.1) в другую сеть
> 192.168.0.0./24

Вообще для работы DNAT нужен симметричный SNAT -- часом не
упустили?  Бывало ещё забавно, когда понимание маршрутов у
машинов из таких подсетей отличалось, в смысле ответ шёл
мимо NAT.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-22 17:29     ` Michael Shigorin
@ 2006-12-23 18:32       ` Olvin
  2006-12-24 11:14         ` Alexander Volkov
  2006-12-25  7:24         ` Nikolay(computer-service.ru)
  0 siblings, 2 replies; 19+ messages in thread
From: Olvin @ 2006-12-23 18:32 UTC (permalink / raw)
  To: shigorin, ALT Linux sysadmin discuss

Michael Shigorin пишет:
>>>Если машина - шлюз, то ничего такого не надоразве что
>>>запретить форвард всего кроме -p tcp --dport 80 -d
>>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
>>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
>>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
>>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
>>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
>>192.168.0.0./24
> Вообще для работы DNAT нужен симметричный SNAT -- часом не
> упустили?  Бывало ещё забавно, когда понимание маршрутов у
> машинов из таких подсетей отличалось, в смысле ответ шёл
> мимо NAT.

NAT действует только при разрешённом forward, исключение - redirect, но
это на другой порт той машины, что шлюзом служит.

Вам нужно некое приложение, которое бы слушало на 80-м порту и само
делало запросы на 80-й порт, но на другую машину. Причём запросы один к
одному, эдакий user-space forward (не redirect). Если бы обращения шли
только по имени машины, а не по IP-адресу, то такое можно было бы
реализовать хитрой настройкой DNS-сервера bind (hint: views) и
прокси-сервера squid.



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-23 18:32       ` Olvin
@ 2006-12-24 11:14         ` Alexander Volkov
  2006-12-24 12:04           ` Michael Shigorin
  2006-12-25  7:24         ` Nikolay(computer-service.ru)
  1 sibling, 1 reply; 19+ messages in thread
From: Alexander Volkov @ 2006-12-24 11:14 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On 2006-12-23 20:32:03 +0200, Olvin wrote:
O> Michael Shigorin пишет:
O> >>>Если машина - шлюз, то ничего такого не надоразве что
O> >>>запретить форвард всего кроме -p tcp --dport 80 -d
O> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
O> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
O> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
O> >>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
O> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
O> >>192.168.0.0./24
O> > Вообще для работы DNAT нужен симметричный SNAT -- часом не
O> > упустили?  Бывало ещё забавно, когда понимание маршрутов у
O> > машинов из таких подсетей отличалось, в смысле ответ шёл
O> > мимо NAT.

O> NAT действует только при разрешённом forward, исключение - redirect, но
O> это на другой порт той машины, что шлюзом служит.

O> Вам нужно некое приложение, которое бы слушало на 80-м порту и само
O> делало запросы на 80-й порт, но на другую машину. Причём запросы один к
O> одному, эдакий user-space forward (не redirect). Если бы обращения шли
O> только по имени машины, а не по IP-адресу, то такое можно было бы
O> реализовать хитрой настройкой DNS-сервера bind (hint: views) и
O> прокси-сервера squid.
тут ришло в голову - повесить на это дело nginx и проксировать на нужный
хост?
--
 Regards, Alexander



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-24 11:14         ` Alexander Volkov
@ 2006-12-24 12:04           ` Michael Shigorin
  0 siblings, 0 replies; 19+ messages in thread
From: Michael Shigorin @ 2006-12-24 12:04 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Sun, Dec 24, 2006 at 02:14:05PM +0300, Alexander Volkov wrote:
> тут ришло в голову - повесить на это дело nginx и проксировать
> на нужный хост?

Как вариант, если маршрутизация на хосте, где можно повесить
nginx, может быть выправлена нужным образом.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-23 18:32       ` Olvin
  2006-12-24 11:14         ` Alexander Volkov
@ 2006-12-25  7:24         ` Nikolay(computer-service.ru)
  2006-12-25 14:35           ` Olvin
  1 sibling, 1 reply; 19+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-25  7:24 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss


----- Original Message ----- 
From: "Olvin" <olvin@rambler.ru>
To: <shigorin@gmail.com>; "ALT Linux sysadmin discuss"
<sysadmins@lists.altlinux.org>
Sent: Saturday, December 23, 2006 9:32 PM
Subject: Re: [Sysadmins] DNAT???


> Michael Shigorin пишет:
> >>>Если машина - шлюз, то ничего такого не надоразве что
> >>>запретить форвард всего кроме -p tcp --dport 80 -d
> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни
> >>в другой сети.  надо из одной сети (192.168.1.0./24) выкинуть
> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть
> >>192.168.0.0./24
> > Вообще для работы DNAT нужен симметричный SNAT -- часом не
> > упустили?  Бывало ещё забавно, когда понимание маршрутов у
> > машинов из таких подсетей отличалось, в смысле ответ шёл
> > мимо NAT.
>
> NAT действует только при разрешённом forward, исключение - redirect, но
> это на другой порт той машины, что шлюзом служит.
>
> Вам нужно некое приложение, которое бы слушало на 80-м порту и само
> делало запросы на 80-й порт, но на другую машину. Причём запросы один к
> одному, эдакий user-space forward (не redirect). Если бы обращения шли
> только по имени машины, а не по IP-адресу, то такое можно было бы
> реализовать хитрой настройкой DNS-сервера bind (hint: views) и
> прокси-сервера squid.

А если это не только 80 порт, вообще любой порт одной машины пробросить на
другую машину.

>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-25  7:24         ` Nikolay(computer-service.ru)
@ 2006-12-25 14:35           ` Olvin
  0 siblings, 0 replies; 19+ messages in thread
From: Olvin @ 2006-12-25 14:35 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Nikolay(computer-service.ru) пишет:
> А если это не только 80 порт, вообще любой порт одной машины пробросить на
> другую машину.

Для нормальной проброски нужен нормальный forwarding пакетов из одной
сети в другую. А не фигнёй маяться... Или там на самом деле шлюз
устроить никак не получится? Если да, то какая причина? Никак не возьму
в толк, что мешает разрешить forwarding и firewall настроить.

Для 80-го порта (вернее, для http протокола) можно и сквидом обойтись.
Для проброски в общем случае придётся свою программу ваять. Или что-то
готовое для такой цели есть уже? :)


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Sysadmins] DNAT???
  2006-12-20  8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru)
                   ` (2 preceding siblings ...)
  2006-12-20 19:10 ` Olvin
@ 2006-12-27 11:55 ` Ildar Mulyukov
  3 siblings, 0 replies; 19+ messages in thread
From: Ildar Mulyukov @ 2006-12-27 11:55 UTC (permalink / raw)
  To: sysadmins

On 20.12.2006 14:39:15, Nikolay(computer-service.ru) wrote:
> Здравствуйте уважаемое сообщество!
>  Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.*   
> между  ними  стоит ALT мастер 2.4(ядро 2.4)  с двумя сетевыми картами  
> и двумя ip(192.168.0.40 и 192.168.1.40)  Нужно чтобы в одной  
> сети(192.168.0.*) был виден комп  другой(192.168.1.1)  сети по  
> определенному порту(80),  но сети при этом друг друга не видели.  
> Думаю надо использовать DNAT
> пишу в iptables
>  -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT
> --to-destination
> 192.168.0.40:80
> 
> Обращаюсь из сети 192.168.0.*  к ip 192.168.0.40 на 80 порт и шиш
> чего.

Если вопрос ещё не закрыт, в Вашей ситуации нужно сделать следующее:
1. На шлюзе выполнить команду: route add 192.168.1.1 gw 192.168.1.40 *)
2. На этом самом 192.168.1.40 сделать запрещение всего кроме
	-d 192.168.1.1 --dport 80

*) если шлюз - виндус, то route -p add 192.168.1.1 192.168.1.40

Всё.

С уважением, Ильдар.
-- 
Ildar  Mulyukov,  free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================


^ permalink raw reply	[flat|nested] 19+ messages in thread

end of thread, other threads:[~2006-12-27 11:55 UTC | newest]

Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-12-20  8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru)
2006-12-20  8:50 ` Alexey Sidorov
2006-12-20  9:21   ` Nikolay(computer-service.ru)
2006-12-20 10:26     ` Alexander Volkov
2006-12-20  9:02 ` Anton Kvashin
2006-12-20  9:04   ` Nikolay(computer-service.ru)
2006-12-20  9:42     ` Alexander Volkov
2006-12-20 10:18     ` Andrii Dobrovol`s`kii
2006-12-20 19:10 ` Olvin
2006-12-21  8:44   ` Nikolay(computer-service.ru)
2006-12-22 15:44     ` Olvin
2006-12-22 15:53       ` Andrii Dobrovol`s`kii
2006-12-22 17:29     ` Michael Shigorin
2006-12-23 18:32       ` Olvin
2006-12-24 11:14         ` Alexander Volkov
2006-12-24 12:04           ` Michael Shigorin
2006-12-25  7:24         ` Nikolay(computer-service.ru)
2006-12-25 14:35           ` Olvin
2006-12-27 11:55 ` Ildar Mulyukov

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git