LINUX.ORG.RU
ФорумAdmin

как пробросить порт на www-server


0

0

Не могу пробросить порт на внутренний сервер www.
Структура сети:

server Linux
trank vlan |---|
--------------->| |
| |-----+---->192.168.200.0/24
|---| |
+--->192.168.200.100/32(www server)


Из мира по транку виланов приходят три вилана от трех различных Интернет провайдеров. Три разных провайдера дают свой IP для выхода в интернет.
Есть внутренняя сеть 192.168.200.0/24 и во внутренней сети стоит сервер WWW (192.168.200.100/32).
На Linux настроен iproute2 на 3 маршрута по умолчанию, также настроен iptables для маркировки пакетов клиентов для выхода в интернет (к примеру: пакеты моей машины маркируються 2 и идут в инет через второй вилан). Как сделать так чтобы любой запрос к 80 порту к Linux server пробрасывался на машину 192.168.200.100.




Ответ на: комментарий от AnDoR

Сделал как Вы написали. iptables -t nat -A PREROUTING -i eth0.101 -p tcp --dport 80 -j SNAT 192.168.200.100

Нет соединения. В чем может быть проблема?

Akmal
() автор топика
Ответ на: комментарий от Akmal

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 12087 -j DNAT --to-destination 10.0.0.6

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 12087 -j ACCEPT



vilfred ☆☆
()

Делать надо DNAT на ip-адрес www-сервера, разрешить эти пакеты в FORWARD (они уже будут иди от/к ip-адресу www-сервера).

Если на www-сервере прописан маршрут по умолчанию через Linux server, то этих правил хватит, если там только маршрут на сеть 192.168.200.0/24, то на Linux server прописать еще SNAT, чтобы www-сервер считал, что к нему идут запросы от Linux server'а, а не от Интернетовских ip-адресов.

mky ★★★★★
()
Ответ на: комментарий от mky

http://www.linux.org.ru/view-message.jsp?msgid=2563091#2563751

три года уже лью по такого типа правилам фильмы с лостфильма, новафильма, торрентс.ру и квадратмалевича.ру имхо никаких отличий для другого номера порта не нужно.

vilfred ☆☆
()
Ответ на: комментарий от mky

угу, есть =)
#
# 4.1.5 FORWARD chain
#

#
# Bad TCP packets we don't want
#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 OUTPUT chain

vilfred ☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.