LINUX.ORG.RU
решено ФорумAdmin

iptables переброс запросов

 


0

1

В локалке есть железка с вэб интерфейсом. Нужно что-бы можно было достучатся к ней снаружи. На шлюзе прописываю это. Где хх.ххх.хх.ххх - это ip внешнего интерфейс на шлюзе. 192.168.1.6 - это железяка к которой хотим подключится.

IPTABLES -t nat -A PREROUTING -p tcp -d хх.ххх.хх.ххх --dport 555 -j DNAT --to-destination 192.168.1.6:443

Правило не срабатывает. Что делаю не так? К примеру по 80 порту такое правило успешно работает.



Последнее исправление: Humaxoid (всего исправлений: 1)
Глупый вопрос по конфигурированию микротиков
Debian прокладка для RDP

ты пытаешься с plain-http перебросить на https, по сути, ты хочешь реализовать man in the middle атаку. не для того https делали.

ты делай на 555 порту nginx с обычным http-редиректом на нужный адрес и всё proxy-рованием нужного локального адреса.

Spoofing ★★★★★
()
Последнее исправление: Spoofing (всего исправлений: 1)
Ответ на: комментарий от Spoofing

А так работает!

$IPTABLES -t nat -A PREROUTING --dst хх.ххх.хх.ххх -p tcp --dport 443 -j DNAT --to-destination 192.168.1.6:443
$IPTABLES -t nat -A POSTROUTING --dst 192.168.1.6 -p tcp --dport 443 -j SNAT --to-source 192.168.66.1
$IPTABLES -t nat -A OUTPUT --dst 93.170.112.202 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.6
$IPTABLES -I FORWARD 1 -i eth0 -o eth1 -d 192.168.1.6 -p tcp -m tcp --dport 443 -j ACCEPT

Только это временный вариант, потому как 443 порт на проксе понадобится для других целей. Пришлось временно отключить для переброски во внутрь.

Humaxoid
() автор топика
Ответ на: комментарий от Humaxoid

А так работает!

с https на https конечно.

я в общем сталкивался с такой же проблемой когда делал Captive Portal: Captive Portal для самых маленьких

тоже сделал для себя открытие, когда не смог перенаправить с 80 на 443.

Spoofing ★★★★★
()
Ответ на: комментарий от Spoofing

тоже сделал для себя открытие, когда не смог перенаправить с 80 на 443.

И что теперь, забыть про 443 и юзать 80? Ну это как-то не по феншую. Можно конечно вышеуказанное правило использовать. Но у меня в локалке несколько железок на 443 порту и ко всем хотца достучатся по https. :(

Humaxoid
() автор топика
Последнее исправление: Humaxoid (всего исправлений: 1)
Ответ на: комментарий от Humaxoid

И что теперь, забыть про 443 и юзать 80?

Но вы в браузере как набираете URL? http://внешний_IP:555 или таки https://внешний_IP:555 ?

vodz ★★★★★
()

Мы не знаем всех ваших правил, вы их не показали.
А кратко так.
1. Ваше правило верное.
2. Добавить разрешающие правила в FORWARD, вас же интересует в две стороны.
3. Возможно «железка» не отвечает на адреса не из локалки, тогда добавить SNAT

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)

Нужно что-бы можно было достучатся к ней снаружи

подними на шлюзе прокси на nginx

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

И ещё установить pg+mysql это же обязательно. Колхозостроитель, всё решается правилами ipt без лишних демонов.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Отличное решение, ага, делать проброс порта на железку с неизвестно каким веб-сервером на борту. Очень умнО, ага.

targitaj ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Глупый вопрос по конфигурированию микротиков
Admin
Debian прокладка для RDP