* [Sysadmins] DNAT???
@ 2006-12-20 8:39 Nikolay(computer-service.ru)
2006-12-20 8:50 ` Alexey Sidorov
` (3 more replies)
0 siblings, 4 replies; 19+ messages in thread
From: Nikolay(computer-service.ru) @ 2006-12-20 8:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте уважаемое сообщество!
Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними
стоит ALT мастер 2.4(ядро 2.4)
с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1)
сети по определенному порту(80),
но сети при этом друг друга не видели. Думаю надо использовать DNAT
пишу в iptables
-A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination
192.168.0.40:80
Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего.
^ permalink raw reply [flat|nested] 19+ messages in thread* Re: [Sysadmins] DNAT??? 2006-12-20 8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru) @ 2006-12-20 8:50 ` Alexey Sidorov 2006-12-20 9:21 ` Nikolay(computer-service.ru) 2006-12-20 9:02 ` Anton Kvashin ` (2 subsequent siblings) 3 siblings, 1 reply; 19+ messages in thread From: Alexey Sidorov @ 2006-12-20 8:50 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay(computer-service.ru) пишет: > Здравствуйте уважаемое сообщество! > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними > стоит ALT мастер 2.4(ядро 2.4) > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40) > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) > сети по определенному порту(80), > но сети при этом друг друга не видели. Думаю надо использовать DNAT > пишу в iptables > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination > 192.168.0.40:80 > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. > не надо dnat просто разреши этому компу видеть 80 порт другого компа, а после этого правила запрети остальной обмен между сетями -- С уважением, Алексей Сидоров mailto:alex@reutman.ru JID: alex@reutman.ru ICQ: 5052225 ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 8:50 ` Alexey Sidorov @ 2006-12-20 9:21 ` Nikolay(computer-service.ru) 2006-12-20 10:26 ` Alexander Volkov 0 siblings, 1 reply; 19+ messages in thread From: Nikolay(computer-service.ru) @ 2006-12-20 9:21 UTC (permalink / raw) To: ALT Linux sysadmin discuss > Nikolay(computer-service.ru) пишет: > > Здравствуйте уважаемое сообщество! > > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними > > стоит ALT мастер 2.4(ядро 2.4) > > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40) > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) > > сети по определенному порту(80), > > но сети при этом друг друга не видели. Думаю надо использовать DNAT > > пишу в iptables > > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination > > 192.168.0.40:80 > > > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. > > > не надо dnat > просто разреши этому компу видеть 80 порт другого компа, а после этого правила запрети остальной обмен между сетями комп с ip 192.168.0.40 не является шлюзом для сети 192.168.0.0/24 насколько я понимаю без этого запросы на 192.168.1.1:80 не пойдут. А мне бы надо сделать чтобы я обратившись из сети 192.168.0.0/24 на 192.168.0.40:80 получил ответ от 192.168.1.1:80, как если бы он был в 192.168.0.0/24 > > -- > С уважением, Алексей Сидоров > mailto:alex@reutman.ru > JID: alex@reutman.ru > ICQ: 5052225 > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 9:21 ` Nikolay(computer-service.ru) @ 2006-12-20 10:26 ` Alexander Volkov 0 siblings, 0 replies; 19+ messages in thread From: Alexander Volkov @ 2006-12-20 10:26 UTC (permalink / raw) To: ALT Linux sysadmin discuss On 2006-12-20 12:21:14 +0300, Nikolay(computer-service.ru) wrote: Ncsr> > Nikolay(computer-service.ru) пишет: Ncsr> > > Здравствуйте уважаемое сообщество! Ncsr> > > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между Ncsr> ними Ncsr> > > стоит ALT мастер 2.4(ядро 2.4) Ncsr> > > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40) Ncsr> > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) Ncsr> > > сети по определенному порту(80), Ncsr> > > но сети при этом друг друга не видели. Думаю надо использовать DNAT Ncsr> > > пишу в iptables Ncsr> > > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination Ncsr> > > 192.168.0.40:80 Ncsr> > > Ncsr> > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. Ncsr> > > Ncsr> > не надо dnat Ncsr> > просто разреши этому компу видеть 80 порт другого компа, а после этого Ncsr> правила запрети остальной обмен между сетями Ncsr> комп с ip 192.168.0.40 не является шлюзом для сети 192.168.0.0/24 насколько Ncsr> я понимаю Ncsr> без этого запросы на 192.168.1.1:80 не пойдут. Ncsr> А мне бы надо сделать чтобы я обратившись из сети 192.168.0.0/24 на Ncsr> 192.168.0.40:80 получил ответ Ncsr> от 192.168.1.1:80, как если бы он был в 192.168.0.0/24 тогда, насколько понимаю, в вышеупомянутом правиле не надо указывать -d 192.168.1.1 -- Regards, Alexander ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru) 2006-12-20 8:50 ` Alexey Sidorov @ 2006-12-20 9:02 ` Anton Kvashin 2006-12-20 9:04 ` Nikolay(computer-service.ru) 2006-12-20 19:10 ` Olvin 2006-12-27 11:55 ` Ildar Mulyukov 3 siblings, 1 reply; 19+ messages in thread From: Anton Kvashin @ 2006-12-20 9:02 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay(computer-service.ru) пишет: > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) > сети по определенному порту(80), > но сети при этом друг друга не видели. Думаю надо использовать DNAT > пишу в iptables > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination > 192.168.0.40:80 При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80 > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. Из примера, видно, запрос идет в одной сети, причем здесь 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен ответить 192.168.0.40, если конечно, все правильно настроено. -- Anton Kvashin ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 9:02 ` Anton Kvashin @ 2006-12-20 9:04 ` Nikolay(computer-service.ru) 2006-12-20 9:42 ` Alexander Volkov 2006-12-20 10:18 ` Andrii Dobrovol`s`kii 0 siblings, 2 replies; 19+ messages in thread From: Nikolay(computer-service.ru) @ 2006-12-20 9:04 UTC (permalink / raw) To: ALT Linux sysadmin discuss ----- Original Message ----- From: "Anton Kvashin" <foo@junior.esoo.ru> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> Sent: Wednesday, December 20, 2006 12:02 PM Subject: Re: [Sysadmins] DNAT??? > Nikolay(computer-service.ru) пишет: > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) > > сети по определенному порту(80), > > но сети при этом друг друга не видели. Думаю надо использовать DNAT > > пишу в iptables > > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination > > 192.168.0.40:80 > > При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80 > > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. > > Из примера, видно, запрос идет в одной сети, причем здесь > 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен > ответить 192.168.0.40, если конечно, все правильно настроено. сети разные надо увидеть комп 192.168.1.1:80 из 192.168.0.0/24 но при этом ничего больше > > -- > Anton Kvashin > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 9:04 ` Nikolay(computer-service.ru) @ 2006-12-20 9:42 ` Alexander Volkov 2006-12-20 10:18 ` Andrii Dobrovol`s`kii 1 sibling, 0 replies; 19+ messages in thread From: Alexander Volkov @ 2006-12-20 9:42 UTC (permalink / raw) To: ALT Linux sysadmin discuss On 2006-12-20 12:04:26 +0300, Nikolay(computer-service.ru) wrote: Ncsr> ----- Original Message ----- Ncsr> From: "Anton Kvashin" <foo@junior.esoo.ru> Ncsr> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> Ncsr> Sent: Wednesday, December 20, 2006 12:02 PM Ncsr> Subject: Re: [Sysadmins] DNAT??? Ncsr> > Nikolay(computer-service.ru) пишет: Ncsr> > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) Ncsr> > > сети по определенному порту(80), Ncsr> > > но сети при этом друг друга не видели. Думаю надо использовать DNAT Ncsr> > > пишу в iptables Ncsr> > > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination Ncsr> > > 192.168.0.40:80 Ncsr> > Ncsr> > При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80 Ncsr> > Ncsr> > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. Ncsr> > Ncsr> > Из примера, видно, запрос идет в одной сети, причем здесь Ncsr> > 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен Ncsr> > ответить 192.168.0.40, если конечно, все правильно настроено. Ncsr> сети разные надо увидеть комп 192.168.1.1:80 из 192.168.0.0/24 но при этом Ncsr> ничего больше ну так добавьте правило для FORWARD перед тем, как запретить все остальное -- Regards, Alexander ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 9:04 ` Nikolay(computer-service.ru) 2006-12-20 9:42 ` Alexander Volkov @ 2006-12-20 10:18 ` Andrii Dobrovol`s`kii 1 sibling, 0 replies; 19+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-12-20 10:18 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 1755 bytes --] Nikolay(computer-service.ru) пишет: > >> Nikolay(computer-service.ru) пишет: >>> Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) >>> сети по определенному порту(80), >>> но сети при этом друг друга не видели. Думаю надо использовать DNAT >>> пишу в iptables >>> -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination >>> 192.168.0.40:80 >> При обращении на 192.168.1.1:80 ядро отдаст запрос на 192.168.0.40:80 >> >>> Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. >> Из примера, видно, запрос идет в одной сети, причем здесь >> 192.168.1.1? Сделайте запрос из 192.168.1.0/24 к 192.168.1.1, должен >> ответить 192.168.0.40, если конечно, все правильно настроено. > > сети разные надо увидеть комп 192.168.1.1:80 из 192.168.0.0/24 но при этом > ничего больше > Как уже написали рядом, одного DNAT мало. Просто постройте всю логическую цепочку обработки запроса. :) Если Вы хотите чтоб при обращении к 192.168.1.1:80 он отвечал, то должна быть доступна маршрутизация пакетов на этот адрес. Смотрели таблицу маршрутизации? Если это машина из другой сети, то должен быть разрешен форвардинг между сетями. Он разрешен? И обращаться нужно именно к той машине. Тогда и будет срабатывать преобразование адреса назначения. Если Вы изначально обращаететсь к 192.168.0.40 то правило DNAT отдыхает... ;) -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru) 2006-12-20 8:50 ` Alexey Sidorov 2006-12-20 9:02 ` Anton Kvashin @ 2006-12-20 19:10 ` Olvin 2006-12-21 8:44 ` Nikolay(computer-service.ru) 2006-12-27 11:55 ` Ildar Mulyukov 3 siblings, 1 reply; 19+ messages in thread From: Olvin @ 2006-12-20 19:10 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay(computer-service.ru) пишет: > Здравствуйте уважаемое сообщество! > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними > стоит ALT мастер 2.4(ядро 2.4) > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40) > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) > сети по определенному порту(80), > но сети при этом друг друга не видели. Думаю надо использовать DNAT > пишу в iptables > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination > 192.168.0.40:80 > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. Если машина - шлюз, то ничего такого не надоразве что запретить форвард всего кроме -p tcp --dport 80 -d 192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то только прокси. Возможно, прозрачный. Иначе никак. AFAIK. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 19:10 ` Olvin @ 2006-12-21 8:44 ` Nikolay(computer-service.ru) 2006-12-22 15:44 ` Olvin 2006-12-22 17:29 ` Michael Shigorin 0 siblings, 2 replies; 19+ messages in thread From: Nikolay(computer-service.ru) @ 2006-12-21 8:44 UTC (permalink / raw) To: ALT Linux sysadmin discuss > Nikolay(computer-service.ru) пишет: > > Здравствуйте уважаемое сообщество! > > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними > > стоит ALT мастер 2.4(ядро 2.4) > > с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40) > > Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) > > сети по определенному порту(80), > > но сети при этом друг друга не видели. Думаю надо использовать DNAT > > пишу в iptables > > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination > > 192.168.0.40:80 > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. > > Если машина - шлюз, то ничего такого не надоразве что запретить форвард > всего кроме -p tcp --dport 80 -d 192.168.1.1, а также ESTABLISHED и > RELATED. Если нет, то только > прокси. Возможно, прозрачный. Иначе никак. AFAIK. В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни в другой сети. надо из одной сети (192.168.1.0./24) выкинуть порт 80(порт не важен) машины(192.168.1.1) в другую сеть 192.168.0.0./24 > > > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-21 8:44 ` Nikolay(computer-service.ru) @ 2006-12-22 15:44 ` Olvin 2006-12-22 15:53 ` Andrii Dobrovol`s`kii 2006-12-22 17:29 ` Michael Shigorin 1 sibling, 1 reply; 19+ messages in thread From: Olvin @ 2006-12-22 15:44 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay(computer-service.ru) пишет: >>>Здравствуйте уважаемое сообщество! >>>Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* >>>между ними стоит ALT мастер 2.4(ядро 2.4) >>>с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40) >>>Нужно чтобы в одной сети(192.168.0.*) был виден комп другой(192.168.1.1) >>>сети по определенному порту(80), >>>но сети при этом друг друга не видели. Думаю надо использовать DNAT >>>пишу в iptables >>> -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT --to-destination >>>192.168.0.40:80 >>>Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш чего. >>Если машина - шлюз, то ничего такого не надоразве что запретить форвард >>всего кроме -p tcp --dport 80 -d 192.168.1.1, а также ESTABLISHED и >>RELATED. Если нет, то только >>прокси. Возможно, прозрачный. Иначе никак. AFAIK. > В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни в другой > сети. > надо из одной сети (192.168.1.0./24) выкинуть порт 80(порт не важен) > машины(192.168.1.1) в другую сеть 192.168.0.0./24 Тогда только прокси. С прямым прописыванием в браузере. Про прозрачность - это я погорячился. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-22 15:44 ` Olvin @ 2006-12-22 15:53 ` Andrii Dobrovol`s`kii 0 siblings, 0 replies; 19+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-12-22 15:53 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 866 bytes --] Olvin пишет: > Nikolay(computer-service.ru) пишет: > В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни в другой >> сети. >> надо из одной сети (192.168.1.0./24) выкинуть порт 80(порт не важен) >> машины(192.168.1.1) в другую сеть 192.168.0.0./24 > > Тогда только прокси. С прямым прописыванием в браузере. Про прозрачность > - это я погорячился. Может и не только... Хотя, прокси тоже сможет. Я пока так и не понял чего хочется. Возможно, хватит DNAT, но правильно описанного. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-21 8:44 ` Nikolay(computer-service.ru) 2006-12-22 15:44 ` Olvin @ 2006-12-22 17:29 ` Michael Shigorin 2006-12-23 18:32 ` Olvin 1 sibling, 1 reply; 19+ messages in thread From: Michael Shigorin @ 2006-12-22 17:29 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Thu, Dec 21, 2006 at 11:44:36AM +0300, Nikolay(computer-service.ru) wrote: > > > с двумя сетевыми картами и двумя ip(192.168.0.40 и > > > 192.168.1.40) Нужно чтобы в одной сети(192.168.0.*) был > > > виден комп другой(192.168.1.1) сети по определенному > > > порту(80), но сети при этом друг друга не видели. Думаю > > > надо использовать DNAT пишу в iptables -A PREROUTING -p tcp > > > -d 192.168.1.1 --dport 80 -j DNAT --to-destination > > > 192.168.0.40:80 Обращаюсь из сети 192.168.0.* к ip > > > 192.168.0.40 на 80 порт и шиш чего. > > Если машина - шлюз, то ничего такого не надоразве что > > запретить форвард всего кроме -p tcp --dport 80 -d > > 192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то > > только прокси. Возможно, прозрачный. Иначе никак. AFAIK. > В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни > в другой сети. надо из одной сети (192.168.1.0./24) выкинуть > порт 80(порт не важен) машины(192.168.1.1) в другую сеть > 192.168.0.0./24 Вообще для работы DNAT нужен симметричный SNAT -- часом не упустили? Бывало ещё забавно, когда понимание маршрутов у машинов из таких подсетей отличалось, в смысле ответ шёл мимо NAT. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-22 17:29 ` Michael Shigorin @ 2006-12-23 18:32 ` Olvin 2006-12-24 11:14 ` Alexander Volkov 2006-12-25 7:24 ` Nikolay(computer-service.ru) 0 siblings, 2 replies; 19+ messages in thread From: Olvin @ 2006-12-23 18:32 UTC (permalink / raw) To: shigorin, ALT Linux sysadmin discuss Michael Shigorin пишет: >>>Если машина - шлюз, то ничего такого не надоразве что >>>запретить форвард всего кроме -p tcp --dport 80 -d >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK. >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни >>в другой сети. надо из одной сети (192.168.1.0./24) выкинуть >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть >>192.168.0.0./24 > Вообще для работы DNAT нужен симметричный SNAT -- часом не > упустили? Бывало ещё забавно, когда понимание маршрутов у > машинов из таких подсетей отличалось, в смысле ответ шёл > мимо NAT. NAT действует только при разрешённом forward, исключение - redirect, но это на другой порт той машины, что шлюзом служит. Вам нужно некое приложение, которое бы слушало на 80-м порту и само делало запросы на 80-й порт, но на другую машину. Причём запросы один к одному, эдакий user-space forward (не redirect). Если бы обращения шли только по имени машины, а не по IP-адресу, то такое можно было бы реализовать хитрой настройкой DNS-сервера bind (hint: views) и прокси-сервера squid. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-23 18:32 ` Olvin @ 2006-12-24 11:14 ` Alexander Volkov 2006-12-24 12:04 ` Michael Shigorin 2006-12-25 7:24 ` Nikolay(computer-service.ru) 1 sibling, 1 reply; 19+ messages in thread From: Alexander Volkov @ 2006-12-24 11:14 UTC (permalink / raw) To: ALT Linux sysadmin discuss On 2006-12-23 20:32:03 +0200, Olvin wrote: O> Michael Shigorin пишет: O> >>>Если машина - шлюз, то ничего такого не надоразве что O> >>>запретить форвард всего кроме -p tcp --dport 80 -d O> >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то O> >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK. O> >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни O> >>в другой сети. надо из одной сети (192.168.1.0./24) выкинуть O> >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть O> >>192.168.0.0./24 O> > Вообще для работы DNAT нужен симметричный SNAT -- часом не O> > упустили? Бывало ещё забавно, когда понимание маршрутов у O> > машинов из таких подсетей отличалось, в смысле ответ шёл O> > мимо NAT. O> NAT действует только при разрешённом forward, исключение - redirect, но O> это на другой порт той машины, что шлюзом служит. O> Вам нужно некое приложение, которое бы слушало на 80-м порту и само O> делало запросы на 80-й порт, но на другую машину. Причём запросы один к O> одному, эдакий user-space forward (не redirect). Если бы обращения шли O> только по имени машины, а не по IP-адресу, то такое можно было бы O> реализовать хитрой настройкой DNS-сервера bind (hint: views) и O> прокси-сервера squid. тут ришло в голову - повесить на это дело nginx и проксировать на нужный хост? -- Regards, Alexander ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-24 11:14 ` Alexander Volkov @ 2006-12-24 12:04 ` Michael Shigorin 0 siblings, 0 replies; 19+ messages in thread From: Michael Shigorin @ 2006-12-24 12:04 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Sun, Dec 24, 2006 at 02:14:05PM +0300, Alexander Volkov wrote: > тут ришло в голову - повесить на это дело nginx и проксировать > на нужный хост? Как вариант, если маршрутизация на хосте, где можно повесить nginx, может быть выправлена нужным образом. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-23 18:32 ` Olvin 2006-12-24 11:14 ` Alexander Volkov @ 2006-12-25 7:24 ` Nikolay(computer-service.ru) 2006-12-25 14:35 ` Olvin 1 sibling, 1 reply; 19+ messages in thread From: Nikolay(computer-service.ru) @ 2006-12-25 7:24 UTC (permalink / raw) To: ALT Linux sysadmin discuss ----- Original Message ----- From: "Olvin" <olvin@rambler.ru> To: <shigorin@gmail.com>; "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> Sent: Saturday, December 23, 2006 9:32 PM Subject: Re: [Sysadmins] DNAT??? > Michael Shigorin пишет: > >>>Если машина - шлюз, то ничего такого не надоразве что > >>>запретить форвард всего кроме -p tcp --dport 80 -d > >>>192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то > >>>только прокси. Возможно, прозрачный. Иначе никак. AFAIK. > >>В том то вся и проблема что 192.168.0.40 не шлюз ни в одной ни > >>в другой сети. надо из одной сети (192.168.1.0./24) выкинуть > >>порт 80(порт не важен) машины(192.168.1.1) в другую сеть > >>192.168.0.0./24 > > Вообще для работы DNAT нужен симметричный SNAT -- часом не > > упустили? Бывало ещё забавно, когда понимание маршрутов у > > машинов из таких подсетей отличалось, в смысле ответ шёл > > мимо NAT. > > NAT действует только при разрешённом forward, исключение - redirect, но > это на другой порт той машины, что шлюзом служит. > > Вам нужно некое приложение, которое бы слушало на 80-м порту и само > делало запросы на 80-й порт, но на другую машину. Причём запросы один к > одному, эдакий user-space forward (не redirect). Если бы обращения шли > только по имени машины, а не по IP-адресу, то такое можно было бы > реализовать хитрой настройкой DNS-сервера bind (hint: views) и > прокси-сервера squid. А если это не только 80 порт, вообще любой порт одной машины пробросить на другую машину. > > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-25 7:24 ` Nikolay(computer-service.ru) @ 2006-12-25 14:35 ` Olvin 0 siblings, 0 replies; 19+ messages in thread From: Olvin @ 2006-12-25 14:35 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay(computer-service.ru) пишет: > А если это не только 80 порт, вообще любой порт одной машины пробросить на > другую машину. Для нормальной проброски нужен нормальный forwarding пакетов из одной сети в другую. А не фигнёй маяться... Или там на самом деле шлюз устроить никак не получится? Если да, то какая причина? Никак не возьму в толк, что мешает разрешить forwarding и firewall настроить. Для 80-го порта (вернее, для http протокола) можно и сквидом обойтись. Для проброски в общем случае придётся свою программу ваять. Или что-то готовое для такой цели есть уже? :) ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Sysadmins] DNAT??? 2006-12-20 8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru) ` (2 preceding siblings ...) 2006-12-20 19:10 ` Olvin @ 2006-12-27 11:55 ` Ildar Mulyukov 3 siblings, 0 replies; 19+ messages in thread From: Ildar Mulyukov @ 2006-12-27 11:55 UTC (permalink / raw) To: sysadmins On 20.12.2006 14:39:15, Nikolay(computer-service.ru) wrote: > Здравствуйте уважаемое сообщество! > Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* > между ними стоит ALT мастер 2.4(ядро 2.4) с двумя сетевыми картами > и двумя ip(192.168.0.40 и 192.168.1.40) Нужно чтобы в одной > сети(192.168.0.*) был виден комп другой(192.168.1.1) сети по > определенному порту(80), но сети при этом друг друга не видели. > Думаю надо использовать DNAT > пишу в iptables > -A PREROUTING -p tcp -d 192.168.1.1 --dport 80 -j DNAT > --to-destination > 192.168.0.40:80 > > Обращаюсь из сети 192.168.0.* к ip 192.168.0.40 на 80 порт и шиш > чего. Если вопрос ещё не закрыт, в Вашей ситуации нужно сделать следующее: 1. На шлюзе выполнить команду: route add 192.168.1.1 gw 192.168.1.40 *) 2. На этом самом 192.168.1.40 сделать запрещение всего кроме -d 192.168.1.1 --dport 80 *) если шлюз - виндус, то route -p add 192.168.1.1 192.168.1.40 Всё. С уважением, Ильдар. -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru ========================================= ^ permalink raw reply [flat|nested] 19+ messages in thread
end of thread, other threads:[~2006-12-27 11:55 UTC | newest] Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2006-12-20 8:39 [Sysadmins] DNAT??? Nikolay(computer-service.ru) 2006-12-20 8:50 ` Alexey Sidorov 2006-12-20 9:21 ` Nikolay(computer-service.ru) 2006-12-20 10:26 ` Alexander Volkov 2006-12-20 9:02 ` Anton Kvashin 2006-12-20 9:04 ` Nikolay(computer-service.ru) 2006-12-20 9:42 ` Alexander Volkov 2006-12-20 10:18 ` Andrii Dobrovol`s`kii 2006-12-20 19:10 ` Olvin 2006-12-21 8:44 ` Nikolay(computer-service.ru) 2006-12-22 15:44 ` Olvin 2006-12-22 15:53 ` Andrii Dobrovol`s`kii 2006-12-22 17:29 ` Michael Shigorin 2006-12-23 18:32 ` Olvin 2006-12-24 11:14 ` Alexander Volkov 2006-12-24 12:04 ` Michael Shigorin 2006-12-25 7:24 ` Nikolay(computer-service.ru) 2006-12-25 14:35 ` Olvin 2006-12-27 11:55 ` Ildar Mulyukov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git