LINUX.ORG.RU
ФорумAdmin

Как отправить/смаршрутизировать пакеты на порт на определенный сервер в инете?

 ,


0

2

Доброго времени!

Есть пара серверов с белыми ип. Нужно все запросы на порт 453 любого ип, которые генерирует сервер1 кинуть на сервер2. Пытался решить через омечевание пакетов и таблицы маршрутизации. Не поехало. Вижу решение только путем натяжения трубы впн-а между серверами или проброс портов через ссх. Но опасаюсь, что такая схема будет не очень производительной. Может есть более простые способы такого своеобразного «проброса» порта?

Заранее благодарю

Ответ на: комментарий от alex-123

На куда будем натить?

на второй сервер или куда там тебе надо. NAT = Network Address Translation все-таки.

upcFrost ★★★★★
()
Ответ на: комментарий от Deleted

спасибо пакеты улетают на второй сервер

alex-123
() автор топика
Ответ на: комментарий от anc

Уважаемый upcFrost У Вас неделя помощи школьникам? Уж простите... :)

проект стоит, полярная ночь, делать нечего. да и если человека не ткнуть пальцем в чем именно суть ответа на его вопрос а просто дать ответ - он никогда не задумается.

и вообще - я ж в универе работаю, хоть и не преподаю. учить штудента наше всйо

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от alex-123

Не борзей. Не надо.

да я и не борзею. суть вопроса, равно как и мой первый ответ, сводится к сущности NATа. к тому что это просто преобразование IP-заголовка на L3. если это понимание придет - больше и вопросов таких не возникнет, и более глубокое понимание сути процесса будет. в этом и состоит суть обучения.

если было обидно про штудентов - зря. у нас есть народ кому за 40, получают второе высшее как international M.Sc. и особо их не смущает снова быть студентами. Учиться никогда не поздно.

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

суть не в том. те anc лизнул так не прикрыто и ты (раз тут все на ты) радостно побежал рассказывать, что ты де главный бабуин в своем мирке ну и сейчас немножэчко свободен. Такая вот нехитрая манипуляция. Обучать - не требовалось. Станция - на танке, а не на лампах.

alex-123
() автор топика
Ответ на: комментарий от alex-123

те anc лизнул так не прикрыто

скорее подколол, если что

что ты де главный бабуин в своем мирке ну и сейчас немножэчко свободен

я думаю он имел ввиду тему пару дней назад где чувак к экзамену по сетям готовился, и еще пару вопросов аналогичного толка. и потом - обычного общения никто не отменяет. это все-таки форум, а не служба техподдержки.

Обучать - не требовалось

т.е. тебе лучше получить ответ чем получить объяснение почему ответ такой? а если потом встанет задача перенаправить трафик еще куда-нибудь? или скажем надо будет поднять два гейта один за другим?

не, ок, дело твое. если чем задел - сорри.

p.s.: да, по большей части все на ты. даже более того, некоторых местных обращение на «вы» задевает. не помню правда кого именно. но народ на этот счет даже в l-o-r пару раз ныл типа оскорбили. хотя имхо пофиг.

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

может я на китайском пишу - НАТ не причем. Нат в данном случае подменит хост назначения и приземлит все пакеты на сервере2. А этого не надо делать. сервер2 должен пропустить сквозь себя пакеты на порт 453 на реальный хост назначения, т.е. тот хост, к которому обращался сервер1. Если бы нужно просто пинать пакеты на порт 453 сервера2 ну я бы просто к нему и обратился по этому порту.

alex-123
() автор топика
Ответ на: комментарий от alex-123

сервер2 должен пропустить сквозь себя пакеты

да, вот этот момент был не столь очевиден, т.к. в исходном посте было просто нужно кинуть пакет на второй сервер.

еще раз перечитал основной пост на всякий случай. если пакет выходит из зоны твоей ответственности (вернее из локальной инфраструктуры) - лучше юзать vpn. т.е. при связке S1-инет-S2-инет лучше завернуть в тоннель.

если нужна производительность и пофиг на шифрование, аутентификацию и все остальное - заюзай ipip-тоннель и обычную маршрутизацию. это не совсем vpn, просто инкапсуляция намного тупее чем gre, оверхед в длину еще одного ip-заголовка. плюс настраивается без танцев как обычный интерфейс

Если бы нужно просто пинать пакеты на порт 453 сервера2 ну я бы просто к нему и обратился по этому порту.

ну мало ли, может ты пытаешься отснифить странный трафик на этом порту, идущий хрен знает куда. всяко бывает

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от alex-123

суть не в том. те anc лизнул так не прикрыто

Панимаешли в чем дело, есть разница между «лизнул» и выразил свое уважение. upcFrost - по этому форуму я знаю как отличного специалиста и человека реально помогающего другим участникам форума. А вот alex-123 - судя по вопросу я рассматриваю только как «школьника». Надеюсь разница понятна?

anc ★★★★★
()
Ответ на: комментарий от alex-123

Включить форвардинг на втором серваке, разрешить транзитный трафик в iptables и зароутить первый сервак через второй либо дефолтным гейтом, либо через дополнительную таблицу и маркирование.

ArcFi
()
Ответ на: комментарий от ArcFi

как я понял у него серваки далеко и логически, и физически. типа просто как две ВМки в аренде в белыми адресами у разных провайдеров. гейт вроде как в одной подсети должен быть, разве нет?

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

серваки далеко и логически, и физически

Тогда да, поднять туннель, как вы написали выше.

ArcFi
()
Ответ на: комментарий от anc

Да, не... именно лизнул. Мог, конечно, этого не делать - но не удержался. Возможно, привычка, а возможно и комплексы. Посему anc я рассматриваю только как «задрота».

alex-123
() автор топика
Ответ на: комментарий от alex-123

если ты правда не понимаешь что anc (на которого кстати гнать не стоит, он здесь реально многим людям помог) меня подколол что я отвечаю на глупые вопросы - поясняю. перечитай первый пост.

был вопрос «Нужно все запросы на порт 453 любого ип, которые генерирует сервер1 кинуть на сервер2». Другими словами «для всего что имеет dst-port 453 надо выставить dst-ip второго сервера». Вопрос школьный? в целом да. и если ты думаешь что «кто ж такое спросит» - пройдись по соседним темам, спрашивают и куда более простые вещи.

вот если бы ты написал что надо их не «кинуть на», а «проксировать через», да еще и нормально описал бы что серваки в разных подсетях и не имеют общей локальной маршрутизации - реакция была бы другой.

upcFrost ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.