* [Sysadmins] iptables
@ 2019-03-15 13:36 Фаизов Алишер
2019-03-15 13:53 ` Москаленко Алексей Владимирович
2019-03-15 14:52 ` Sergey
0 siblings, 2 replies; 3+ messages in thread
From: Фаизов Алишер @ 2019-03-15 13:36 UTC (permalink / raw)
To: sysadmins
Приветствую!
Коллеги, подскажите какие правила необходимо прописать в iptables в
следующей ситуации?
Есть шлюз, у него интерфейс с внешним ip и с внутренним, за внутренним
веб-сервер. Снаружи вижу сайт. А вот с самого веб сервера curl отвечает
connection refused.
Спасибо!
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Sysadmins] iptables
2019-03-15 13:36 [Sysadmins] iptables Фаизов Алишер
@ 2019-03-15 13:53 ` Москаленко Алексей Владимирович
2019-03-15 14:52 ` Sergey
1 sibling, 0 replies; 3+ messages in thread
From: Москаленко Алексей Владимирович @ 2019-03-15 13:53 UTC (permalink / raw)
To: sysadmins
Фаизов Алишер писал 15.03.2019 16:36:
> Коллеги, подскажите какие правила необходимо прописать в iptables в
> следующей ситуации?
>
> Есть шлюз, у него интерфейс с внешним ip и с внутренним, за внутренним
> веб-сервер. Снаружи вижу сайт. А вот с самого веб сервера curl
> отвечает connection refused.
Здравствуйте.
Скорее всего, у Вас DNS-запись указывает на внешний IP вашего сайта,
поэтому он пытается обращаться к себе по внешнему IP. Вариантов решения
проблемы у Вас два:
1. Прописать в /etc/host на web-сервере или в локальном DNS A-запись для
сайта, указывающую на внутренний адрес web-сервера; или
2. На шлюзе прописать правило NAT вида iptables -t nat -A PREROUTING -i
${INTERNAL_IFNAME} -s ${INTERNAL_NET} -d {EXTERNAL_IP} -p tcp -m
multiport --dports ${WEB_SERVER_PORTS} -j DNAT --to-destination
${WEB_SERVER_IP} и (возможно) соответствующее ему правило FORWARD
(обратите внимание, что пакеты будут приходить и уходить с одного и того
же внутреннего интерфейса).
Мне первый вариант кажется более правильным.
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Sysadmins] iptables
2019-03-15 13:36 [Sysadmins] iptables Фаизов Алишер
2019-03-15 13:53 ` Москаленко Алексей Владимирович
@ 2019-03-15 14:52 ` Sergey
1 sibling, 0 replies; 3+ messages in thread
From: Sergey @ 2019-03-15 14:52 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Friday 15 March 2019, Фаизов Алишер wrote:
> Есть шлюз, у него интерфейс с внешним ip и с внутренним,
> за внутренним веб-сервер. Снаружи вижу сайт. А вот с самого
> веб сервера curl отвечает connection refused.
Варианты разные могут быть. Надо все правила просмотреть и
понять, что и почему срабатывает. К примеру, доступ с lo не
закрыт случайно общим правилом reject? Вообще есть -j TRACE.
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2019-03-15 14:52 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2019-03-15 13:36 [Sysadmins] iptables Фаизов Алишер
2019-03-15 13:53 ` Москаленко Алексей Владимирович
2019-03-15 14:52 ` Sergey
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git