From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mav@elserv.msk.su>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00 autolearn=ham
 autolearn_force=no version=3.4.1
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 8bit
Date: Fri, 15 Mar 2019 16:53:01 +0300
From: =?UTF-8?Q?=D0=9C=D0=BE=D1=81=D0=BA=D0=B0=D0=BB=D0=B5=D0=BD=D0=BA?=
 =?UTF-8?Q?=D0=BE_=D0=90=D0=BB=D0=B5=D0=BA=D1=81=D0=B5=D0=B9_=D0=92=D0=BB?=
 =?UTF-8?Q?=D0=B0=D0=B4=D0=B8=D0=BC=D0=B8=D1=80=D0=BE=D0=B2=D0=B8=D1=87?=
 <mav@elserv.msk.su>
To: sysadmins@lists.altlinux.org
In-Reply-To: <87230f19-c43b-d7ab-afb8-75e61f104f89@rambler.ru>
References: <87230f19-c43b-d7ab-afb8-75e61f104f89@rambler.ru>
Message-ID: <4dad495e45db9472ec822640ae180490@elserv.ru>
X-Sender: mav@elserv.msk.su
Subject: Re: [Sysadmins] iptables
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 15 Mar 2019 13:53:04 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4dad495e45db9472ec822640ae180490@elserv.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Фаизов Алишер писал 15.03.2019 16:36:
> Коллеги, подскажите какие правила необходимо прописать в iptables в
> следующей ситуации?
> 
> Есть шлюз, у него интерфейс с внешним ip и с внутренним, за внутренним
> веб-сервер. Снаружи вижу сайт. А вот с самого веб сервера curl
> отвечает connection refused.

Здравствуйте.

Скорее всего, у Вас DNS-запись указывает на внешний IP вашего сайта, 
поэтому он пытается обращаться к себе по внешнему IP. Вариантов решения 
проблемы у Вас два:

1. Прописать в /etc/host на web-сервере или в локальном DNS A-запись для 
сайта, указывающую на внутренний адрес web-сервера; или
2. На шлюзе прописать правило NAT вида iptables -t nat -A PREROUTING -i 
${INTERNAL_IFNAME} -s ${INTERNAL_NET} -d {EXTERNAL_IP} -p tcp -m 
multiport --dports ${WEB_SERVER_PORTS} -j DNAT --to-destination 
${WEB_SERVER_IP} и (возможно) соответствующее ему правило FORWARD 
(обратите внимание, что пакеты будут приходить и уходить с одного и того 
же внутреннего интерфейса).

Мне первый вариант кажется более правильным.