LINUX.ORG.RU
ФорумAdmin

Доступ из LAN на интерфейс WAN. Веб сервер.

 , ,


0

1

Есть сервер. 2 сетевухи: 10.0.0.1/24 и 154.0.4.56/24. Когда сервер был на centos мог из локалки 10,0,0,1.24 попасть на 154.0.4.56. Перенес все на дебин. Из локалки не могу даже пингануть 154.0.4.56.

Файрвол скопирован с центоси. 80 порт открыт и с анонимайзеров заходит. Трассировка до 154.0.4.56 заканчивается на первом хопе на шлюзе. Со шлюза 154.0.4.56 пингуется. Комп с которого пингую натится на адрес 154.0.4.55

Где собака зарыта?

Может где-то в sysctl? Помогите, пожалуйста, разобраться.

В sysctl.conf:

net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 net.ipv4.ip_forward=1

Проблема осталась.

sysctl.conf: http://pastebin.com/72f8Ht08 interfaces: http://pastebin.com/R80hSweY



Последнее исправление: lousx (всего исправлений: 1)
Ответ на: комментарий от anonymous
iptables-save
# Generated by iptables-save v1.4.14 on Mon May 18 13:08:53 2015
*filter
:INPUT ACCEPT [17459:2449162]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34954:16391396]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.200.4/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -s 192.168.200.8/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6969 -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 6969 -j ACCEPT
-A INPUT -s 91.234.147.0/24 -i eth1 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -s 91.234.147.0/24 -i eth1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon May 18 13:08:53 2015
lousx
() автор топика
Ответ на: комментарий от lousx

как же ты без NAT'a попадёшь на внешний интерфейс? у клиентов в локалке есть маршрут на него?

пришёл значит пакет из 10.0.0.0/24 на 10.0.0.1/32 и как он знает куда дальше надо идти чтоб на 154.0.4.56/32 попасть?

anonymous
()
Ответ на: комментарий от lousx

Как тогда узлы из локалки должны попадать в инет? Через прокси на этом же сервере?

gasinvein ★★★
()
Ответ на: комментарий от anonymous

Для узла из локалки свой шлюз. И инет у них есть. шлюз натит их на 154.0.4.59/24

lousx
() автор топика
Ответ на: комментарий от anonymous

Всем спасибо! Разобрался. Глупо... Не верная маска внешнего адреса дебиана. 24 вместо 28.

lousx
() автор топика
Ответ на: комментарий от lousx

А как у провайдера настроена маршрутизация для 154.0.4.x ?

Мне кажется упустили из виду какой-то нюанс там

Elyas ★★★★★
()
Ответ на: комментарий от Elyas

154.0.4.x - внешняя сетка провайдера. 10.0.0.x dst-nat на 154.0.4.x. 154.0.4.56 - белый адрес у сервера в этой же провайдерской сети.

lousx
() автор топика
Ответ на: комментарий от lousx

Не, это-то было понятно. Тут важны подробности. Куда подключены шлюз с NAT-ом и Web-сервер? В обычный свитч или что-то более «умное»

Я не то, чтобы спрашиваю, сколько пытаюсь направить ваше внимание в нужную сторону.

Elyas ★★★★★
()
Последнее исправление: Elyas (всего исправлений: 1)
Ответ на: комментарий от lousx

Я клоню к тому, чтобы внимательно смотреть на настройку «внешних» интерфейсов, со всеми деталями.

Например, если шлюз для Web-сервера не перенаправляет пакеты от него на один из NAT-адресов, то соответствующий маршрут надо указывать явно. А детали внутренней сети не важны.

Elyas ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.