как пробросить порт на www-server

0

0

Не могу пробросить порт на внутренний сервер www.
Структура сети:

server Linux
trank vlan |---|
--------------->| |
| |-----+---->192.168.200.0/24
|---| |
+--->192.168.200.100/32(www server)

Из мира по транку виланов приходят три вилана от трех различных Интернет провайдеров. Три разных провайдера дают свой IP для выхода в интернет.
Есть внутренняя сеть 192.168.200.0/24 и во внутренней сети стоит сервер WWW (192.168.200.100/32).
На Linux настроен iproute2 на 3 маршрута по умолчанию, также настроен iptables для маркировки пакетов клиентов для выхода в интернет (к примеру: пакеты моей машины маркируються 2 и идут в инет через второй вилан). Как сделать так чтобы любой запрос к 80 порту к Linux server пробрасывался на машину 192.168.200.100.

Ссылка

←	Как и чем лучше считать траффик?

postfix не приходит почта

→

iptables -t nat -A PREROUTING -i <интерфейс> -p tcp --dport 80 -j SNAT блаблабла

google://lartc-howto

AnDoR ★★★★★
(07.03.08 13:57:22 MSK)

Ответ на: комментарий от AnDoR 07.03.08 13:57:22 MSK

Сделал как Вы написали. iptables -t nat -A PREROUTING -i eth0.101 -p tcp --dport 80 -j SNAT 192.168.200.100

Нет соединения. В чем может быть проблема?

Akmal ★
(07.03.08 14:03:01 MSK) автор топика

Ответ на: комментарий от Akmal 07.03.08 14:03:01 MSK

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 12087 -j DNAT --to-destination 10.0.0.6

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 12087 -j ACCEPT

~~vilfred~~ ☆☆
(07.03.08 17:50:26 MSK)

Ссылка

Делать надо DNAT на ip-адрес www-сервера, разрешить эти пакеты в FORWARD (они уже будут иди от/к ip-адресу www-сервера).

Если на www-сервере прописан маршрут по умолчанию через Linux server, то этих правил хватит, если там только маршрут на сеть 192.168.200.0/24, то на Linux server прописать еще SNAT, чтобы www-сервер считал, что к нему идут запросы от Linux server'а, а не от Интернетовских ip-адресов.

mky ★★★★★
(07.03.08 20:40:22 MSK)

Ответ на: комментарий от mky 07.03.08 20:40:22 MSK

http://www.linux.org.ru/view-message.jsp?msgid=2563091#2563751

три года уже лью по такого типа правилам фильмы с лостфильма, новафильма, торрентс.ру и квадратмалевича.ру имхо никаких отличий для другого номера порта не нужно.

~~vilfred~~ ☆☆
(07.03.08 22:26:24 MSK)

Ответ на: комментарий от vilfred 07.03.08 22:26:24 MSK

У вас в FORWARD есть правило "-m state ESTABLISHED,RELATED -j ACCEPT"? Или как проходят пакеты "-s 10.0.0.6"?

mky ★★★★★
(08.03.08 13:19:20 MSK)

Ответ на: комментарий от mky 08.03.08 13:19:20 MSK

угу, есть =)
#
# 4.1.5 FORWARD chain
#

#
# Bad TCP packets we don't want
#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 OUTPUT chain

~~vilfred~~ ☆☆
(09.03.08 16:31:22 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как и чем лучше считать траффик?

Admin

postfix не приходит почта

→

Похожие темы