Шлюз, два интерфейса: наружу реальный (с именем domain.ru), внутрь фейковый-192.168.1.50
Внутри есть веб-сервер:192.168.1.53
Для того, чтобы на него попадали из интернета, делаю DNAT:
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.53:80
Работает прекрасно (проверял через анонимный прокси)
Проблема:
Если юзер из сетки 192.168 набирает в браузере domain.ru:8080 то получает connection refused даже с опущенным файерволом
На мой взгляд механизм такой: клиент коннектится к сквиду(запущенному на шлюзе), сквид разрезолвивает domain.ru как внешний ip (проверил конандой host domain.ru) и создает сокет:
внешний_ip:произвольный_порт -> внешний_ip:8080,
то есть должен иметь место быть nat, а его нет
У меня подозрения, что где-то происходят преобразования и коннект осуществвляется не к внешний_ip:8080, а к внутренний_ip:8080 или локалност:8080
Можете ли пролить свет ?
Спасибо
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.